Ledger ConnectKit Library Terkompromi dengan Drainer, Menunjukkan Risiko Keselamatan kepada Web3 Apps
Secara ringkas
Pustaka ConnectKit Ledger telah dilanggar, menggantikan alat yang sah dengan skrip drainer yang mendedahkan banyak Web3 aplikasi.
Pelanggaran keselamatan berlaku di Web3 sfera, menjejaskan Ledger ConnectKit perpustakaan, penting untuk memautkan Ledger Live dengan aplikasi. Godam ini melibatkan penggantian perpustakaan dengan skrip 'drainer', yang menimbulkan ancaman serius kepada dana pengguna.
Pakej yang terjejas, ConnectKit —- memuatkan skrip JavaScript secara automatik daripada cdn.jsdelivr.net, yang termasuk penyaring, ke dalam skop global.
Penyusupan ini menjadikan bahagian hadapan aplikasi yang menggunakan perpustakaan ini terdedah, terutamanya selepas kebenaran pengguna. Laporan menunjukkan bahawa penyerang telah mengubah tetingkap mod sambungan dompet, meletakkan semua pemilik dompet berisiko, bukan hanya mereka yang menggunakan Ledger Live.
🚨Kami telah mengenal pasti dan mengalih keluar versi jahat Kit Ledger Connect. 🚨
- Lejar (@Ledger) Disember 14, 2023
Versi tulen sedang ditolak untuk menggantikan fail hasad sekarang. Jangan berinteraksi dengan mana-mana dApps buat masa ini. Kami akan memaklumkan anda apabila keadaan berubah.
Peranti Lejar anda dan…
Amaran Dikeluarkan oleh Lejar Keselamatan
Pakar keselamatan mata wang kripto yang terkenal, termasuk banteg, telah mengesahkan kompromi perpustakaan Ledger dan menasihatkan agar tidak berinteraksi dengan mana-mana aplikasi terdesentralisasi (dApps) sehingga lebih jelas muncul. Kerentanan nampaknya turut mempengaruhi pemuat kit sambung lejar, kerana ia menentukan pergantungan secara longgar.
Serangan itu berpotensi memberi kesan kepada pelbagai pihak, seperti yang ditunjukkan oleh senarai perpustakaan dan aplikasi yang terjejas menggunakan @ledgerhq/connect-kit. Cadangan Ledger untuk menggunakan pemuat kit sambung untuk memuatkan kit sambung memburukkan lagi isu ini, kerana versi pemuat yang disematkan pun mendapatkan versi kit sambung terkini, yang membawa kepada penyusupan yang meluas.
🚨 perpustakaan lejar disahkan terjejas dan digantikan dengan longkang. tunggu berinteraksi dengan mana-mana dapps sehingga perkara menjadi lebih jelas.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Disember 14, 2023
Penyerang telah berjaya menjejaskan sejumlah besar perpustakaan dengan hanya menyasarkan kit sambungan. Ledger mengenal pasti versi 1.1.4 sebagai keluaran selamat terakhir yang diketahui, tetapi menganggap semua keluaran sehingga 1.1.7, yang disiarkan pada hari serangan, sebagai terjejas.
Insiden keselamatan ini menekankan kepentingan kritikal langkah keselamatan siber yang teguh dalam perkembangan pesat Web 3.0 domain, di mana walaupun alat yang mantap seperti perpustakaan Ledger tidak terlepas daripada serangan siber yang canggih.
Penafian
Selaras dengan Garis panduan Projek Amanah, sila ambil perhatian bahawa maklumat yang diberikan pada halaman ini tidak bertujuan untuk menjadi dan tidak seharusnya ditafsirkan sebagai nasihat undang-undang, cukai, pelaburan, kewangan atau sebarang bentuk nasihat lain. Adalah penting untuk hanya melabur apa yang anda mampu kehilangan dan mendapatkan nasihat kewangan bebas jika anda mempunyai sebarang keraguan. Untuk maklumat lanjut, kami mencadangkan merujuk kepada terma dan syarat serta halaman bantuan dan sokongan yang disediakan oleh pengeluar atau pengiklan. MetaversePost komited kepada laporan yang tepat dan tidak berat sebelah, tetapi keadaan pasaran tertakluk kepada perubahan tanpa notis.
Tentang Pengarang
Nik ialah seorang penganalisis dan penulis yang mahir di Metaverse Post, yang mengkhusus dalam menyampaikan cerapan termaju ke dalam dunia teknologi yang pantas, dengan penekanan khusus pada AI/ML, XR, VR, analitik dalam rantaian dan pembangunan rantaian blok. Artikelnya melibatkan dan memaklumkan khalayak yang pelbagai, membantu mereka kekal di hadapan keluk teknologi. Memiliki ijazah Sarjana dalam Ekonomi dan Pengurusan, Nik mempunyai pemahaman yang kukuh tentang nuansa dunia perniagaan dan persimpangannya dengan teknologi yang muncul.
lebih banyak artikelNik ialah seorang penganalisis dan penulis yang mahir di Metaverse Post, yang mengkhusus dalam menyampaikan cerapan termaju ke dalam dunia teknologi yang pantas, dengan penekanan khusus pada AI/ML, XR, VR, analitik dalam rantaian dan pembangunan rantaian blok. Artikelnya melibatkan dan memaklumkan khalayak yang pelbagai, membantu mereka kekal di hadapan keluk teknologi. Memiliki ijazah Sarjana dalam Ekonomi dan Pengurusan, Nik mempunyai pemahaman yang kukuh tentang nuansa dunia perniagaan dan persimpangannya dengan teknologi yang muncul.