Biblioteka Ledger ConnectKit została zaatakowana przez narzędzie Drainer, stwarzając zagrożenie dla bezpieczeństwa Web3 Apps
W skrócie
Naruszono bibliotekę ConnectKit Ledgera, zastępując legalne narzędzie skryptem drenażowym, który ujawnił wiele Web3 aplikacje.
W serwisie doszło do naruszenia bezpieczeństwa Web3 kula, naruszając Zestaw ConnectKit Ledgera biblioteka kluczowa dla połączenia Ledger Live z aplikacjami. Hack ten polega na zastąpieniu biblioteki skryptem „drainer”, co stanowi poważne zagrożenie dla funduszy użytkowników.
Zaatakowany pakiet ConnectKit — automatycznie ładuje skrypt JavaScript z cdn.jsdelivr.net, który zawiera moduł drenażowy, do zasięgu globalnego.
Ta infiltracja naraziła interfejs aplikacji korzystających z tej biblioteki na ataki, szczególnie po autoryzacji użytkownika. Raporty wskazują, że napastnicy zmienili okno modalne połączenia z portfelem, narażając na ryzyko wszystkich właścicieli portfeli, a nie tylko tych, którzy z nich korzystają Ledger Live.
🚨Zidentyfikowaliśmy i usunęliśmy złośliwą wersję zestawu Ledger Connect Kit. 🚨
- Księga główna (@Ledger) 14 grudnia 2023 r.
Obecnie wypychana jest oryginalna wersja, która ma zastąpić złośliwy plik. Na razie nie wchodź w interakcję z żadnymi dApps. Będziemy Państwa informować w miarę rozwoju sytuacji.
Twoje urządzenie Ledger i…
Ostrzeżenia wydane przez Ledger Bezpieczeństwo
Znani eksperci ds. bezpieczeństwa kryptowalut, w tym banteg, potwierdzili kompromis biblioteki Ledger i odradzają interakcje z jakimikolwiek zdecentralizowanymi aplikacjami (dApps), aż pojawi się większa jasność. Wydaje się, że luka dotyczy także modułu ładującego ledger connect-kit-loader, ponieważ luźno określa zależność.
Atak potencjalnie wpływa na szeroki zakres stron, jak wskazuje lista dotkniętych bibliotek i aplikacji korzystających z @ledgerhq/connect-kit. Sugestia Ledgera, aby użyć modułu ładującego zestawu połączeniowego do ładowania zestawu połączeniowego, zaostrza problem, ponieważ nawet przypięte wersje modułu ładującego pobierają najnowszą wersję zestawu połączeniowego, co prowadzi do powszechnej infiltracji.
🚨 potwierdzono, że biblioteka księgi głównej została naruszona i zastąpiona ociekaczem. poczekaj na interakcję z jakimkolwiek dappem, aż wszystko stanie się jaśniejsze.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 grudnia 2023 r.
Atakującym udało się złamać zabezpieczenia znacznej liczby bibliotek, obierając za cel wyłącznie zestaw Connect-Kit. Ledger identyfikuje wersję 1.1.4 jako ostatnią znaną bezpieczną wersję, ale wszystkie wersje do 1.1.7, opublikowane w dniu ataku, uważa za zagrożone.
Ten incydent związany z bezpieczeństwem podkreśla kluczowe znaczenie solidnych środków cyberbezpieczeństwa w szybko rozwijającym się świecie Web 3domeny .0, gdzie nawet dobrze znane narzędzia, takie jak biblioteka Ledgera, nie są odporne na wyrafinowane cyberataki.
Odpowiedzialność
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Nik jest znakomitym analitykiem i pisarzem w Metaverse Post, specjalizujący się w dostarczaniu najnowocześniejszych informacji na temat szybko zmieniającego się świata technologii, ze szczególnym naciskiem na AI/ML, XR, VR, analitykę on-chain i rozwój blockchain. Jego artykuły angażują i informują zróżnicowaną publiczność, pomagając im wyprzedzić technologiczną krzywą. Posiadając tytuł magistra ekonomii i zarządzania, Nik ma solidną wiedzę na temat niuansów świata biznesu i jego skrzyżowania z pojawiającymi się technologiami.
Więcej artykułówNik jest znakomitym analitykiem i pisarzem w Metaverse Post, specjalizujący się w dostarczaniu najnowocześniejszych informacji na temat szybko zmieniającego się świata technologii, ze szczególnym naciskiem na AI/ML, XR, VR, analitykę on-chain i rozwój blockchain. Jego artykuły angażują i informują zróżnicowaną publiczność, pomagając im wyprzedzić technologiczną krzywą. Posiadając tytuł magistra ekonomii i zarządzania, Nik ma solidną wiedzę na temat niuansów świata biznesu i jego skrzyżowania z pojawiającymi się technologiami.