Nieuwsverslag Software Technologie
14 december 2023

Ledger ConnectKit-bibliotheek gecompromitteerd met een afdruiprek, wat veiligheidsrisico's met zich meebrengt Web3 Apps

In het kort

De ConnectKit-bibliotheek van Ledger werd geschonden, waardoor de legitieme tool werd vervangen door een drainer-script dat er talloze blootlegde Web3 apps.

Ledger ConnectKit-bibliotheek gecompromitteerd, wat beveiligingsrisico's met zich meebrengt Web 3.0 toepassingen

Er heeft zich een inbreuk op de beveiliging voorgedaan in de Web3 sfeer, waardoor de Grootboek ConnectKit bibliotheek, cruciaal voor het koppelen van Ledger Live aan applicaties. Deze hack omvat de vervanging van de bibliotheek door een 'drainer'-script, wat een ernstige bedreiging vormt voor de gebruikersgelden.

Het gecompromitteerde pakket ConnectKit laadt automatisch een JavaScript-script van cdn.jsdelivr.net, dat een drainer bevat, in het globale bereik.

Deze infiltratie maakte de frontend van applicaties die deze bibliotheek gebruikten kwetsbaar, vooral na gebruikersautorisatie. Uit rapporten blijkt dat aanvallers het modale venster voor de portemonneeverbinding hebben gewijzigd, waardoor alle portemonnee-eigenaren gevaar lopen, en niet alleen degenen die de portemonnee gebruiken Grootboek Live.

Waarschuwingen uitgegeven door Ledger Security

Opmerkelijke cryptocurrency-beveiligingsexperts, waaronder Banteg, hebben het compromis van de Ledger-bibliotheek bevestigd en raden interacties met gedecentraliseerde applicaties af (dApps) totdat er meer duidelijkheid ontstaat. Het beveiligingslek lijkt ook de ledger connect-kit-loader te treffen, omdat deze de afhankelijkheid losjes specificeert.

De aanval heeft mogelijk gevolgen voor een breed scala aan partijen, zoals blijkt uit een lijst met getroffen bibliotheken en applicaties die gebruikmaken van het @ledgerhq/connect-kit. De suggestie van Ledger om connect-kit loader te gebruiken voor het laden van connect-kit verergert het probleem, omdat zelfs vastgezette versies van de loader de nieuwste versie van connect-kit ophalen, wat leidt tot wijdverbreide infiltratie.

Aanvallers zijn erin geslaagd een aanzienlijk aantal bibliotheken in gevaar te brengen door zich alleen op de connect-kit te richten. Ledger identificeert versie 1.1.4 als de laatst bekende veilige release, maar beschouwt alle releases tot en met 1.1.7, geplaatst op de dag van de aanval, als gecompromitteerd.

Dit beveiligingsincident onderstreept het cruciale belang van robuuste cyberbeveiligingsmaatregelen in de zich snel ontwikkelende wereld Web 3.0-domein, waar zelfs gevestigde tools zoals de bibliotheek van Ledger niet immuun zijn voor geavanceerde cyberaanvallen.

Disclaimer

In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.

Over de auteur

Nik is een ervaren analist en schrijver bij Metaverse Post, gespecialiseerd in het leveren van geavanceerde inzichten in de snelle wereld van technologie, met een bijzondere nadruk op AI/ML, XR, VR, on-chain analytics en blockchain-ontwikkeling. Zijn artikelen betrekken en informeren een divers publiek, waardoor ze de technologische curve voor blijven. Nik heeft een masterdiploma in economie en management en heeft een goed begrip van de nuances van de zakenwereld en de kruising met opkomende technologieën.

Meer artikelen
Nik Asti
Nik Asti

Nik is een ervaren analist en schrijver bij Metaverse Post, gespecialiseerd in het leveren van geavanceerde inzichten in de snelle wereld van technologie, met een bijzondere nadruk op AI/ML, XR, VR, on-chain analytics en blockchain-ontwikkeling. Zijn artikelen betrekken en informeren een divers publiek, waardoor ze de technologische curve voor blijven. Nik heeft een masterdiploma in economie en management en heeft een goed begrip van de nuances van de zakenwereld en de kruising met opkomende technologieën.

Van Ripple tot The Big Green DAO: hoe cryptocurrency-projecten bijdragen aan liefdadigheid

Laten we initiatieven onderzoeken die het potentieel van digitale valuta voor goede doelen benutten.

Meer weten

AlphaFold 3, Med-Gemini en anderen: de manier waarop AI de gezondheidszorg transformeert in 2024

AI manifesteert zich op verschillende manieren in de gezondheidszorg, van het blootleggen van nieuwe genetische correlaties tot het versterken van robotchirurgische systemen...

Meer weten
Sluit u aan bij onze innovatieve technologiegemeenschap
Lees meer
Lees meer
Fractal kondigt plannen aan om zijn testnet op 20 juli te resetten
Nieuwsverslag Software Technologie
Fractal kondigt plannen aan om zijn testnet op 20 juli te resetten
19 juli 2024
Het kraken van de code van DeFi Kwetsbaarheden: Alp Bassa's diepe duik in slimme contractbeveiliging
Interview Zakelijk Markten Software Technologie
Het kraken van de code van DeFi Kwetsbaarheden: Alp Bassa's diepe duik in slimme contractbeveiliging
19 juli 2024
Cysic lanceert zijn testnet en onthult Verifier Season-campagne, waarmee de community validator-node-witte lijsten krijgt
Nieuwsverslag Technologie
Cysic lanceert zijn testnet en onthult Verifier Season-campagne, waarmee de community validator-node-witte lijsten krijgt
19 juli 2024
Terra krijgt toestemming van de faillissementsrechtbank om de shuttlebrug te heropenen en 150 miljoen LUNA-tokens te verbranden
Markten Nieuwsverslag Technologie
Terra krijgt toestemming van de faillissementsrechtbank om de shuttlebrug te heropenen en 150 miljoen LUNA-tokens te verbranden
19 juli 2024