Ledger ConnectKit ライブラリがドレイナーで侵害され、セキュリティ上のリスクが生じる Web3 アプリ
簡単に言えば
Ledger の ConnectKit ライブラリが侵害され、正規のツールが大量の脆弱性を暴露するドレイナー スクリプトに置き換えられました。 Web3 アプリ
でセキュリティ侵害が発生しました Web3 球体、妥協 レジャーコネクトキット Ledger Live とアプリケーションをリンクするために重要なライブラリ。 このハッキングでは、ライブラリを「ドレイナー」スクリプトに置き換えることが含まれており、ユーザーの資金に重大な脅威をもたらします。
侵害されたパッケージ ConnectKit — は、ドレイナーを含む JavaScript スクリプトを cdn.jsdelivr.net からグローバル スコープに自動的にロードします。
この侵入により、このライブラリを使用するアプリケーションのフロントエンドが、特にユーザー認証後に脆弱になりました。 レポートによると、攻撃者がウォレット接続のモーダル ウィンドウを変更し、ウォレットを使用しているユーザーだけでなく、すべてのウォレット所有者が危険にさらされています。 Ledger Live.
🚨Ledger Connect Kit の悪意のあるバージョンを特定し、削除しました。 🚨
- 元帳(@元帳) 2023 年 12 月 14 日
現在、悪意のあるファイルを置き換えるために正規のバージョンがプッシュされています。 現時点では dApp を操作しないでください。 状況の進展に応じてお知らせいたします。
Ledger デバイスと…
Ledgerが発行する警告 セキュリティ
バンテグを含む著名な暗号通貨セキュリティ専門家は、Ledger ライブラリの侵害を確認し、分散型アプリケーションとの相互作用を避けるよう勧告しています (dApps) より明確になるまで。 この脆弱性は、依存関係の指定が緩いため、レジャーの connect-kit-loader にも影響を与えるようです。
影響を受けるライブラリとアプリケーションのリストに示されているように、この攻撃は広範囲の関係者に影響を与える可能性があります。 @ledgerhq/接続キット。 Connect-kit のロードに connect-kit ローダーを使用するという Ledger の提案は、ピン留めされたバージョンのローダーでも connect-kit の最新バージョンをフェッチするため、問題を悪化させ、広範な侵入につながります。
🚨 台帳ライブラリが侵害され、ドレイナーに置き換えられたことが確認されました。 状況が明確になるまで、Dapp との対話を待ちます。https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
— banteg(@bantg) 2023 年 12 月 14 日
攻撃者は、接続キットのみをターゲットにして、かなりの数のライブラリを侵害することに成功しました。 Ledger は、バージョン 1.1.4 が既知の最後の安全なリリースであると特定していますが、攻撃当日に投稿された 1.1.7 までのすべてのリリースは侵害されたものとみなされます。
このセキュリティインシデントは、急速に進化する社会における堅牢なサイバーセキュリティ対策の極めて重要性を浮き彫りにしています。 Web 3.0 ドメインでは、Ledger のライブラリのような確立されたツールでも、高度なサイバー攻撃を免れることはできません。
免責事項
に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。
著者について
ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。
より多くの記事ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。