ニュースレポート ソフトウェア テクノロジー
2023 年 12 月 14 日

Ledger ConnectKit ライブラリがドレイナーで侵害され、セキュリティ上のリスクが生じる Web3 アプリ

by
公開日:14年2023月8日午前48時14分 更新日:2023年8月48日午前XNUMX時XNUMX分
by ビクター・デイ
編集および事実確認: 14 年 2023 月 8 日午前 48 時 XNUMX 分

簡単に言えば

Ledger の ConnectKit ライブラリが侵害され、正規のツールが大量の脆弱性を暴露するドレイナー スクリプトに置き換えられました。 Web3 アプリ

Ledger ConnectKit ライブラリが侵害され、セキュリティ上のリスクが生じる Web 3.0 アプリケーション

でセキュリティ侵害が発生しました Web3 球体、妥協 レジャーコネクトキット Ledger Live とアプリケーションをリンクするために重要なライブラリ。 このハッキングでは、ライブラリを「ドレイナー」スクリプトに置き換えることが含まれており、ユーザーの資金に重大な脅威をもたらします。

侵害されたパッケージ ConnectKit — は、ドレイナーを含む JavaScript スクリプトを cdn.jsdelivr.net からグローバル スコープに自動的にロードします。

この侵入により、このライブラリを使用するアプリケーションのフロントエンドが、特にユーザー認証後に脆弱になりました。 レポートによると、攻撃者がウォレット接続のモーダル ウィンドウを変更し、ウォレットを使用しているユーザーだけでなく、すべてのウォレット所有者が危険にさらされています。 Ledger Live.

Ledgerが発行する警告 セキュリティ

バンテグを含む著名な暗号通貨セキュリティ専門家は、Ledger ライブラリの侵害を確認し、分散型アプリケーションとの相互作用を避けるよう勧告しています (dApps) より明確になるまで。 この脆弱性は、依存関係の指定が緩いため、レジャーの connect-kit-loader にも影響を与えるようです。

影響を受けるライブラリとアプリケーションのリストに示されているように、この攻撃は広範囲の関係者に影響を与える可能性があります。 @ledgerhq/接続キット。 Connect-kit のロードに connect-kit ローダーを使用するという Ledger の提案は、ピン留めされたバージョンのローダーでも connect-kit の最新バージョンをフェッチするため、問題を悪化させ、広範な侵入につながります。

攻撃者は、接続キットのみをターゲットにして、かなりの数のライブラリを侵害することに成功しました。 Ledger は、バージョン 1.1.4 が既知の最後の安全なリリースであると特定していますが、攻撃当日に投稿された 1.1.7 までのすべてのリリースは侵害されたものとみなされます。

このセキュリティインシデントは、急速に進化する社会における堅牢なサイバーセキュリティ対策の極めて重要性を浮き彫りにしています。 Web 3.0 ドメインでは、Ledger のライブラリのような確立されたツールでも、高度なサイバー攻撃を免れることはできません。

タグ:

免責事項

に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。

著者について

ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。

より多くの記事
ニック・アスティ
ニック・アスティ

ニックは、熟練したアナリスト兼ライターです。 Metaverse Post、特に AI/ML、XR、VR、オンチェーン分析、ブロックチェーン開発に重点を置き、ペースの速いテクノロジーの世界に対する最先端の洞察を提供することに特化しています。 彼の記事はさまざまな読者を惹きつけて情報を提供し、テクノロジーの進歩を先取りするのに役立ちます。 経済学と経営学の修士号を取得しているニックは、ビジネスの世界の微妙な違いと、新しいテクノロジーとの関わりをしっかりと理解しています。

より多くの記事
Hot Stories

Nexo、エコシステムに参加したユーザーに 12 万ドルの NEXO トークンを報酬として与える「ザ・ハント」を開始

by アリサ・デビッドソン
2024 年 5 月 08 日

RevolutのRevolut X Exchangeはメーカー手数料ゼロと高度な分析で仮想通貨トレーダーを魅了

by ヴィクトリア・パルチク
2024 年 5 月 08 日

暗号通貨取引プラットフォーム BitMEX が手数料ゼロと現金インセンティブ付きのオプション取引をデビュー

by アリサ・デビッドソン
2024 年 5 月 08 日

Liskが正式にイーサリアムレイヤー2に移行し、コアv4.0.6を公開

by アリサ・デビッドソン
2024 年 5 月 08 日
ニュースレターにご参加ください。
最新ニュース

Nexo、エコシステムに参加したユーザーに 12 万ドルの NEXO トークンを報酬として与える「ザ・ハント」を開始

by アリサ・デビッドソン
2024 年 5 月 08 日

暗号通貨取引プラットフォーム BitMEX が手数料ゼロと現金インセンティブ付きのオプション取引をデビュー

by アリサ・デビッドソン
2024 年 5 月 08 日

Liskが正式にイーサリアムレイヤー2に移行し、コアv4.0.6を公開

by アリサ・デビッドソン
2024 年 5 月 08 日

2024 年 7 月の新しいミームコイン: 暗号ファン向けの XNUMX つのおすすめ

by ヴィクトリア・パルチク
2024 年 5 月 08 日

ボラティリティの中でビットコインETFへの機関投資家の意欲が高まる

13Fの提出書類による開示では、著名な機関投資家がビットコインETFに手を出していることが明らかになり、...

詳細を知りたい

量刑の日が到来:米国裁判所が司法省の申し立てを検討する中、CZの運命は均衡を保っている

Changpeng Zhao氏は本日、シアトルの米国裁判所で判決を受ける予定である。

詳細を知りたい
革新的なテクノロジー コミュニティに参加してください
続きを読む
続きを読む
Nexo、エコシステムに参加したユーザーに 12 万ドルの NEXO トークンを報酬として与える「ザ・ハント」を開始
マーケット ニュースレポート テクノロジー
Nexo、エコシステムに参加したユーザーに 12 万ドルの NEXO トークンを報酬として与える「ザ・ハント」を開始
by アリサ・デビッドソン
2024 年 5 月 8 日
RevolutのRevolut X Exchangeはメーカー手数料ゼロと高度な分析で仮想通貨トレーダーを魅了
マーケット ソフトウェア ストーリーとレビュー テクノロジー
RevolutのRevolut X Exchangeはメーカー手数料ゼロと高度な分析で仮想通貨トレーダーを魅了
by ヴィクトリア・パルチク
2024 年 5 月 8 日
暗号通貨取引プラットフォーム BitMEX が手数料ゼロと現金インセンティブ付きのオプション取引をデビュー
ビジネス マーケット ニュースレポート
暗号通貨取引プラットフォーム BitMEX が手数料ゼロと現金インセンティブ付きのオプション取引をデビュー
by アリサ・デビッドソン
2024 年 5 月 8 日
Liskが正式にイーサリアムレイヤー2に移行し、コアv4.0.6を公開
ニュースレポート テクノロジー
Liskが正式にイーサリアムレイヤー2に移行し、コアv4.0.6を公開
by アリサ・デビッドソン
2024 年 5 月 8 日
CRYPTOMERIA LABS PTE。 株式会社。