Ledger ConnectKit biblioteka pažeista dėl kanalizacijos, keliančios pavojų saugumui Web3 programos

by Nikas Astis

Paskelbta: 14 m. gruodžio 2023 d., 8 val. Atnaujinta: 48 m. gruodžio 14 d., 2023 val.

by Viktoras Dey

Redaguota ir patikrinta faktų: 14 m. gruodžio 2023 d., 8:48

Trumpai

Ledger's ConnectKit biblioteka buvo pažeista, teisėtą įrankį pakeitus drenažo scenarijumi, kuris atskleidė daugybę Web3 apps.

Ledger ConnectKit biblioteka pažeista, kelianti pavojų saugumui Web 3.0 Programos

Įvyko saugumo pažeidimas Web3 sferoje, pažeidžiant Ledger ConnectKit biblioteka, itin svarbi norint susieti Ledger Live su programomis. Šis įsilaužimas apima bibliotekos pakeitimą „drenerio“ scenarijumi, keliančiu rimtą grėsmę vartotojų lėšoms.

Sukompromituotas paketas „ConnectKit“ automatiškai įkelia „JavaScript“ scenarijų iš cdn.jsdelivr.net, kuriame yra nutekėjimo priemonė, į pasaulinę apimtį.

Dėl įsiskverbimo šią biblioteką naudojančių programų sąsaja tapo pažeidžiama, ypač gavus vartotojo įgaliojimą. Ataskaitose nurodoma, kad užpuolikai pakeitė piniginės ryšio modalinį langą, sukeldami pavojų visiems piniginės savininkams, o ne tik tiems, kurie naudojasi. „Ledger Live“.

🚨Nustatėme ir pašalinome kenkėjišką Ledger Connect Kit versiją. 🚨

Dabar siunčiama autentiška versija, kuri pakeis kenkėjišką failą. Šiuo metu nebendraukite su jokiomis dApps. Mes jus informuosime, kai situacija keisis.

Jūsų Ledger įrenginys ir…
- Ledger (@Ledger) Gruodis 14, 2023

Įspėjimai, kuriuos išleido Ledger saugumas

Žymūs kriptovaliutų saugumo ekspertai, įskaitant banteg, patvirtino Ledger bibliotekos kompromisą ir pataria vengti sąveikos su bet kokiomis decentralizuotomis programomis (dApps), kol atsiras daugiau aiškumo. Panašu, kad pažeidžiamumas taip pat turi įtakos knygos „connect-kit-loader“, nes jis laisvai nurodo priklausomybę.

Ataka gali paveikti daugybę šalių, kaip rodo paveiktų bibliotekų ir programų, naudojančių @ledgerhq/connect-kit. Ledger pasiūlymas naudoti connect-kit loader įkeliant connect-kit paaštrina problemą, nes net prisegtos kroviklio versijos gauna naujausią Connect-kit versiją, todėl plačiai įsiskverbia.

🚨 Patvirtinta, kad knygos biblioteka pažeista ir pakeista drenu. palaukite bendraudami su bet kokiais dapps, kol viskas taps aiškiau.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- bantegas (@bantg) Gruodis 14, 2023

Užpuolikai sugebėjo pažeisti daugybę bibliotekų, taikydami tik į prisijungimo rinkinį. Ledger identifikuoja 1.1.4 versiją kaip paskutinę žinomą saugią versiją, tačiau visus leidimus iki 1.1.7, paskelbtus atakos dieną, laiko pažeistais.

Šis saugumo incidentas pabrėžia itin svarbią tvirtų kibernetinio saugumo priemonių svarbą sparčiai besivystančiame Web 3.0 domenas, kuriame net gerai žinomi įrankiai, tokie kaip Ledger's biblioteka, nėra apsaugoti nuo sudėtingų kibernetinių atakų.

Atsakomybės neigimas

Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.

Apie autorių

Nikas yra patyręs analitikas ir rašytojas Metaverse Post, kuri specializuojasi teikiant pažangiausias įžvalgas apie greitą technologijų pasaulį, ypatingą dėmesį skiriant AI/ML, XR, VR, grandininei analizei ir blokų grandinės kūrimui. Jo straipsniai įtraukia ir informuoja įvairią auditoriją, padėdami jai neatsilikti nuo technologijų kreivės. Ekonomikos ir vadybos magistro laipsnį turintis Nikas puikiai suvokia verslo pasaulio niuansus ir jo sankirtą su naujomis technologijomis.

Daugiau straipsnių

Nikas Astis