Ledger ConnectKit-bibliotheek gecompromitteerd met een afdruiprek, wat veiligheidsrisico's met zich meebrengt Web3 Apps
In het kort
De ConnectKit-bibliotheek van Ledger werd geschonden, waardoor de legitieme tool werd vervangen door een drainer-script dat er talloze blootlegde Web3 apps.
Er heeft zich een inbreuk op de beveiliging voorgedaan in de Web3 sfeer, waardoor de Grootboek ConnectKit bibliotheek, cruciaal voor het koppelen van Ledger Live aan applicaties. Deze hack omvat de vervanging van de bibliotheek door een 'drainer'-script, wat een ernstige bedreiging vormt voor de gebruikersgelden.
Het gecompromitteerde pakket ConnectKit laadt automatisch een JavaScript-script van cdn.jsdelivr.net, dat een drainer bevat, in het globale bereik.
Deze infiltratie maakte de frontend van applicaties die deze bibliotheek gebruikten kwetsbaar, vooral na gebruikersautorisatie. Uit rapporten blijkt dat aanvallers het modale venster voor de portemonneeverbinding hebben gewijzigd, waardoor alle portemonnee-eigenaren gevaar lopen, en niet alleen degenen die de portemonnee gebruiken Grootboek Live.
🚨We hebben een kwaadaardige versie van de Ledger Connect Kit geïdentificeerd en verwijderd. 🚨
- Ledger (@Ledger) 14 december 2023
Er wordt nu een echte versie gepusht om het kwaadaardige bestand te vervangen. Voer momenteel geen interactie uit met dApps. Wij houden u op de hoogte naarmate de situatie evolueert.
Uw Ledger-apparaat en…
Waarschuwingen uitgegeven door Ledger Security
Opmerkelijke cryptocurrency-beveiligingsexperts, waaronder Banteg, hebben het compromis van de Ledger-bibliotheek bevestigd en raden interacties met gedecentraliseerde applicaties af (dApps) totdat er meer duidelijkheid ontstaat. Het beveiligingslek lijkt ook de ledger connect-kit-loader te treffen, omdat deze de afhankelijkheid losjes specificeert.
De aanval heeft mogelijk gevolgen voor een breed scala aan partijen, zoals blijkt uit een lijst met getroffen bibliotheken en applicaties die gebruikmaken van het @ledgerhq/connect-kit. De suggestie van Ledger om connect-kit loader te gebruiken voor het laden van connect-kit verergert het probleem, omdat zelfs vastgezette versies van de loader de nieuwste versie van connect-kit ophalen, wat leidt tot wijdverbreide infiltratie.
🚨 Grootboekbibliotheek bevestigd dat deze is aangetast en vervangen door een afdruiprek. wacht met de interactie met eventuele dapps totdat de zaken duidelijker worden.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 december 2023
Aanvallers zijn erin geslaagd een aanzienlijk aantal bibliotheken in gevaar te brengen door zich alleen op de connect-kit te richten. Ledger identificeert versie 1.1.4 als de laatst bekende veilige release, maar beschouwt alle releases tot en met 1.1.7, geplaatst op de dag van de aanval, als gecompromitteerd.
Dit beveiligingsincident onderstreept het cruciale belang van robuuste cyberbeveiligingsmaatregelen in de zich snel ontwikkelende wereld Web 3.0-domein, waar zelfs gevestigde tools zoals de bibliotheek van Ledger niet immuun zijn voor geavanceerde cyberaanvallen.
Disclaimer
In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.
Over de auteur
Nik is een ervaren analist en schrijver bij Metaverse Post, gespecialiseerd in het leveren van geavanceerde inzichten in de snelle wereld van technologie, met een bijzondere nadruk op AI/ML, XR, VR, on-chain analytics en blockchain-ontwikkeling. Zijn artikelen betrekken en informeren een divers publiek, waardoor ze de technologische curve voor blijven. Nik heeft een masterdiploma in economie en management en heeft een goed begrip van de nuances van de zakenwereld en de kruising met opkomende technologieën.
Meer artikelenNik is een ervaren analist en schrijver bij Metaverse Post, gespecialiseerd in het leveren van geavanceerde inzichten in de snelle wereld van technologie, met een bijzondere nadruk op AI/ML, XR, VR, on-chain analytics en blockchain-ontwikkeling. Zijn artikelen betrekken en informeren een divers publiek, waardoor ze de technologische curve voor blijven. Nik heeft een masterdiploma in economie en management en heeft een goed begrip van de nuances van de zakenwereld en de kruising met opkomende technologieën.