Ledger ConnectKit bibliotēka ir apdraudēta ar kanalizāciju, kas rada drošības riskus Web3 Apps
Īsumā
Ledžera ConnectKit bibliotēka tika uzlauzta, aizstājot likumīgo rīku ar drenāžas skriptu, kas atklāja daudzas Web3 progr.
gadā noticis drošības pārkāpums Web3 sfērā, kompromitējot Ledger ConnectKit bibliotēka, kas ir ļoti svarīga Ledger Live saistīšanai ar lietojumprogrammām. Šis uzlauzums ir saistīts ar bibliotēkas aizstāšanu ar “drenāžas” skriptu, radot nopietnus draudus lietotāju līdzekļiem.
Kompromitētā pakotne ConnectKit automātiski ielādē JavaScript skriptu no cdn.jsdelivr.net, kurā ir iekļauts drenāžas līdzeklis, globālajā tvērumā.
Šī iefiltrēšanās padarīja šo bibliotēku izmantojošo lietojumprogrammu priekšgalu neaizsargātu, īpaši pēc lietotāja autorizācijas. Ziņojumi liecina, ka uzbrucēji ir mainījuši maka savienojuma modālo logu, pakļaujot riskam visus maku īpašniekus, ne tikai tos, kuri izmanto Ledger Live.
🚨Esam identificējuši un noņēmuši Ledger Connect Kit ļaunprātīgu versiju. 🚨
- virsgrāmata (@Ledger) Decembris 14, 2023
Pašlaik tiek spiesta oriģinālā versija, lai aizstātu ļaunprātīgo failu. Pašlaik nedarbojieties ar dApps. Mēs jūs informēsim par situācijas attīstību.
Jūsu Ledger ierīce un…
Brīdinājumi, ko izsniedz Ledger Drošība
Ievērojami kriptovalūtu drošības eksperti, tostarp banteg, ir apstiprinājuši Ledger bibliotēkas kompromisu un neiesaka mijiedarboties ar jebkādām decentralizētām lietojumprogrammām (dApps), līdz parādās lielāka skaidrība. Šķiet, ka ievainojamība ietekmē arī virsgrāmatas connect-kit-loader, jo tā brīvi nosaka atkarību.
Uzbrukums, iespējams, ietekmēs plašu pušu loku, kā norādīts ietekmēto bibliotēku un lietojumprogrammu sarakstā, kuras izmanto @ledgerhq/connect-kit. Ledžera ieteikums savienojuma komplekta ielādei izmantot savienojuma komplekta ielādētāju problēmu saasina, jo pat piespraustās iekrāvēja versijas ienes jaunāko savienojuma komplekta versiju, izraisot plašu infiltrāciju.
🚨 Virsgrāmatas bibliotēka apstiprināta, ka tā ir apdraudēta un aizstāta ar drenāžu. pagaidiet, mijiedarbojoties ar dapps, līdz lietas kļūst skaidrākas.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- bantegs (@bantg) Decembris 14, 2023
Uzbrucējiem ir izdevies apdraudēt ievērojamu skaitu bibliotēku, mērķējot tikai uz savienojuma komplektu. Ledger identificē versiju 1.1.4 kā pēdējo zināmo drošo versiju, taču uzskata, ka visi laidieni līdz 1.1.7, kas publicēti uzbrukuma dienā, ir apdraudēti.
Šis drošības incidents uzsver stingru kiberdrošības pasākumu kritisko nozīmi strauji mainīgajā Web 3.0 domēns, kurā pat labi izveidoti rīki, piemēram, Ledžera bibliotēka, nav imūni pret sarežģītiem kiberuzbrukumiem.
Atbildības noraidīšana
Atbilstīgi Uzticības projekta vadlīnijas, lūdzu, ņemiet vērā, ka šajā lapā sniegtā informācija nav paredzēta un to nedrīkst interpretēt kā juridisku, nodokļu, ieguldījumu, finanšu vai jebkāda cita veida padomu. Ir svarīgi ieguldīt tikai to, ko varat atļauties zaudēt, un meklēt neatkarīgu finanšu padomu, ja jums ir šaubas. Lai iegūtu papildinformāciju, iesakām skatīt pakalpojumu sniegšanas noteikumus, kā arī palīdzības un atbalsta lapas, ko nodrošina izdevējs vai reklāmdevējs. MetaversePost ir apņēmies sniegt precīzus, objektīvus pārskatus, taču tirgus apstākļi var tikt mainīti bez iepriekšēja brīdinājuma.
Par Autors
Niks ir izcils analītiķis un rakstnieks Metaverse Post, kas specializējas vismodernāko ieskatu sniegšanā straujajā tehnoloģiju pasaulē, īpašu uzsvaru liekot uz AI/ML, XR, VR, ķēdes analīzi un blokķēdes izstrādi. Viņa raksti iesaista un informē daudzveidīgu auditoriju, palīdzot tai būt priekšā tehnoloģiju līknei. Nikam ir maģistra grāds ekonomikā un vadībā, un viņam ir laba izpratne par biznesa pasaules niansēm un tās krustojumu ar jaunajām tehnoloģijām.
Vairāk rakstusNiks ir izcils analītiķis un rakstnieks Metaverse Post, kas specializējas vismodernāko ieskatu sniegšanā straujajā tehnoloģiju pasaulē, īpašu uzsvaru liekot uz AI/ML, XR, VR, ķēdes analīzi un blokķēdes izstrādi. Viņa raksti iesaista un informē daudzveidīgu auditoriju, palīdzot tai būt priekšā tehnoloģiju līknei. Nikam ir maģistra grāds ekonomikā un vadībā, un viņam ir laba izpratne par biznesa pasaules niansēm un tās krustojumu ar jaunajām tehnoloģijām.