Ledger ConnectKit biblioteka pažeista dėl kanalizacijos, keliančios pavojų saugumui Web3 programos
Trumpai
Ledger's ConnectKit biblioteka buvo pažeista, teisėtą įrankį pakeitus drenažo scenarijumi, kuris atskleidė daugybę Web3 apps.
Įvyko saugumo pažeidimas Web3 sferoje, pažeidžiant Ledger ConnectKit biblioteka, itin svarbi norint susieti Ledger Live su programomis. Šis įsilaužimas apima bibliotekos pakeitimą „drenerio“ scenarijumi, keliančiu rimtą grėsmę vartotojų lėšoms.
Sukompromituotas paketas „ConnectKit“ automatiškai įkelia „JavaScript“ scenarijų iš cdn.jsdelivr.net, kuriame yra nutekėjimo priemonė, į pasaulinę apimtį.
Dėl įsiskverbimo šią biblioteką naudojančių programų sąsaja tapo pažeidžiama, ypač gavus vartotojo įgaliojimą. Ataskaitose nurodoma, kad užpuolikai pakeitė piniginės ryšio modalinį langą, sukeldami pavojų visiems piniginės savininkams, o ne tik tiems, kurie naudojasi. „Ledger Live“.
🚨Nustatėme ir pašalinome kenkėjišką Ledger Connect Kit versiją. 🚨
- Ledger (@Ledger) Gruodis 14, 2023
Dabar siunčiama autentiška versija, kuri pakeis kenkėjišką failą. Šiuo metu nebendraukite su jokiomis dApps. Mes jus informuosime, kai situacija keisis.
Jūsų Ledger įrenginys ir…
Įspėjimai, kuriuos išleido Ledger saugumas
Žymūs kriptovaliutų saugumo ekspertai, įskaitant banteg, patvirtino Ledger bibliotekos kompromisą ir pataria vengti sąveikos su bet kokiomis decentralizuotomis programomis (dApps), kol atsiras daugiau aiškumo. Panašu, kad pažeidžiamumas taip pat turi įtakos knygos „connect-kit-loader“, nes jis laisvai nurodo priklausomybę.
Ataka gali paveikti daugybę šalių, kaip rodo paveiktų bibliotekų ir programų, naudojančių @ledgerhq/connect-kit. Ledger pasiūlymas naudoti connect-kit loader įkeliant connect-kit paaštrina problemą, nes net prisegtos kroviklio versijos gauna naujausią Connect-kit versiją, todėl plačiai įsiskverbia.
🚨 Patvirtinta, kad knygos biblioteka pažeista ir pakeista drenu. palaukite bendraudami su bet kokiais dapps, kol viskas taps aiškiau.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- bantegas (@bantg) Gruodis 14, 2023
Užpuolikai sugebėjo pažeisti daugybę bibliotekų, taikydami tik į prisijungimo rinkinį. Ledger identifikuoja 1.1.4 versiją kaip paskutinę žinomą saugią versiją, tačiau visus leidimus iki 1.1.7, paskelbtus atakos dieną, laiko pažeistais.
Šis saugumo incidentas pabrėžia itin svarbią tvirtų kibernetinio saugumo priemonių svarbą sparčiai besivystančiame Web 3.0 domenas, kuriame net gerai žinomi įrankiai, tokie kaip Ledger's biblioteka, nėra apsaugoti nuo sudėtingų kibernetinių atakų.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Nikas yra patyręs analitikas ir rašytojas Metaverse Post, kuri specializuojasi teikiant pažangiausias įžvalgas apie greitą technologijų pasaulį, ypatingą dėmesį skiriant AI/ML, XR, VR, grandininei analizei ir blokų grandinės kūrimui. Jo straipsniai įtraukia ir informuoja įvairią auditoriją, padėdami jai neatsilikti nuo technologijų kreivės. Ekonomikos ir vadybos magistro laipsnį turintis Nikas puikiai suvokia verslo pasaulio niuansus ir jo sankirtą su naujomis technologijomis.
Daugiau straipsniųNikas yra patyręs analitikas ir rašytojas Metaverse Post, kuri specializuojasi teikiant pažangiausias įžvalgas apie greitą technologijų pasaulį, ypatingą dėmesį skiriant AI/ML, XR, VR, grandininei analizei ir blokų grandinės kūrimui. Jo straipsniai įtraukia ir informuoja įvairią auditoriją, padėdami jai neatsilikti nuo technologijų kreivės. Ekonomikos ir vadybos magistro laipsnį turintis Nikas puikiai suvokia verslo pasaulio niuansus ir jo sankirtą su naujomis technologijomis.