ספריית Ledger ConnectKit נפגעת עם מייבש, שמהווה סיכוני אבטחה Web3 Apps
בקיצור
ספריית ConnectKit של Ledger נפרצה, והחליפה את הכלי הלגיטימי בסקריפט מייבש שחשף Web3 אפליקציות.
התרחשה פרצת אבטחה ב Web3 תחום, מתפשר על Ledger ConnectKit ספרייה, חיונית לקישור Ledger Live עם יישומים. פריצה זו כוללת החלפת הספרייה בסקריפט 'מנקז', המהווה איום רציני על כספי המשתמשים.
החבילה שנפרצה, ConnectKit —- טוענת אוטומטית סקריפט JavaScript מ-cdn.jsdelivr.net, הכולל מייבש, לתוך ההיקף הגלובלי.
הסתננות זו הפכה את החזית של היישומים המשתמשים בספרייה זו לפגיע, במיוחד לאחר הרשאת משתמש. דיווחים מצביעים על כך שתוקפים שינו את החלון המודאלי של חיבור הארנק, והעמידו את כל בעלי הארנק בסיכון, לא רק את אלה המשתמשים ספר לדג'ר לייב.
🚨זיהינו והסרנו גרסה זדונית של ערכת Ledger Connect. 🚨
- לדג'ר (@ לדגר) דצמבר 14, 2023
גרסה מקורית נדחפת להחליף את הקובץ הזדוני כעת. אל תיצור אינטראקציה עם אף dApps כרגע. אנו נעדכן אותך ככל שהמצב יתפתח.
מכשיר הלדג'ר שלך ו...
אזהרות שהונפקו על ידי לדג'ר אבטחה
מומחי אבטחת מטבעות קריפטוגרפיים בולטים, כולל Banteg, אישרו את הפשרה של ספריית Ledger וממליצים נגד אינטראקציות עם יישומים מבוזרים כלשהם (dApps) עד שתתגלה יותר בהירות. נראה שהפגיעות משפיעה גם על ה- Ledger connect-kit-loader, מכיוון שהוא מציין את התלות באופן רופף.
המתקפה עשויה להשפיע על מגוון רחב של גורמים, כפי שמצוין על ידי רשימה של ספריות ויישומים מושפעים המשתמשים ב- @ledgerhq/connect-kit. ההצעה של לדג'ר להשתמש ב-connect-kit loader לטעינת connect-kit מחמירה את הבעיה, שכן אפילו גרסאות מוצמדות של הטוען מביאות את הגרסה העדכנית ביותר של connect-kit, מה שמוביל לחדירה נרחבת.
🚨 אושרה שספריית החשבונות נפגעת והוחלפה במייבש. חכה לאינטראקציה עם כל Dapps עד שהדברים יתבהרו.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- באנטג (@ באנטג) דצמבר 14, 2023
תוקפים הצליחו לסכן מספר לא מבוטל של ספריות על ידי מיקוד רק לערכת החיבור. Ledger מזהה את גרסה 1.1.4 כגרסה הבטוחה האחרונה הידועה, אך מחשיב את כל המהדורות עד 1.1.7, שפורסמו ביום ההתקפה, כנפגעות.
אירוע אבטחה זה מדגיש את החשיבות הקריטית של אמצעי אבטחת סייבר חזקים בהתפתחות המהירה Web 3תחום .0, שבו אפילו כלים מבוססים כמו הספרייה של לדג'ר אינם חסינים מפני התקפות סייבר מתוחכמות.
כתב ויתור
בקנה אחד עם הנחיות פרויקט אמון, אנא שים לב שהמידע המסופק בדף זה אינו מיועד ואין לפרש אותו כייעוץ משפטי, מס, השקעות, פיננסי או כל צורה אחרת של ייעוץ. חשוב להשקיע רק את מה שאתה יכול להרשות לעצמך להפסיד ולפנות לייעוץ פיננסי עצמאי אם יש לך ספק. למידע נוסף, אנו מציעים להתייחס לתנאים ולהגבלות וכן לדפי העזרה והתמיכה שסופקו על ידי המנפיק או המפרסם. MetaversePost מחויבת לדיווח מדויק וחסר פניות, אך תנאי השוק עשויים להשתנות ללא הודעה מוקדמת.
על המחבר
ניק הוא אנליסט וכותב מוכשר ב Metaverse Post, המתמחה באספקת תובנות חדשניות בעולם הטכנולוגיה המהיר, עם דגש מיוחד על AI/ML, XR, VR, אנליטיקה על השרשרת ופיתוח בלוקצ'יין. המאמרים שלו מעסיקים קהל מגוון ומודיעים להם, ועוזרים להם להקדים את העקומה הטכנולוגית. בעל תואר שני בכלכלה וניהול, לניק יש הבנה מוצקה של הניואנסים של עולם העסקים וההצטלבות שלו עם טכנולוגיות מתפתחות.
מאמרים נוספיםניק הוא אנליסט וכותב מוכשר ב Metaverse Post, המתמחה באספקת תובנות חדשניות בעולם הטכנולוגיה המהיר, עם דגש מיוחד על AI/ML, XR, VR, אנליטיקה על השרשרת ופיתוח בלוקצ'יין. המאמרים שלו מעסיקים קהל מגוון ומודיעים להם, ועוזרים להם להקדים את העקומה הטכנולוגית. בעל תואר שני בכלכלה וניהול, לניק יש הבנה מוצקה של הניואנסים של עולם העסקים וההצטלבות שלו עם טכנולוגיות מתפתחות.