Biblioteca Ledger ConnectKit comprometida com um escorredor, representando riscos de segurança para Web3 Apps
Em Breve
A biblioteca ConnectKit da Ledger foi violada, substituindo a ferramenta legítima por um script drenador que expôs vários Web3 apps.
Ocorreu uma falha de segurança no Web3 esfera, comprometendo a Ledger Connect Kit biblioteca, crucial para vincular o Ledger Live aos aplicativos. Este hack envolve a substituição da biblioteca por um script ‘drenador’, representando uma séria ameaça aos fundos dos usuários.
O pacote comprometido, ConnectKit —- carrega automaticamente um script JavaScript de cdn.jsdelivr.net, que inclui um drenador, no escopo global.
Essa infiltração tornou vulnerável o frontend dos aplicativos que utilizam esta biblioteca, principalmente após autorização do usuário. Os relatórios indicam que os invasores alteraram a janela modal de conexão da carteira, colocando em risco todos os proprietários de carteiras, não apenas aqueles que usam Ledger Live.
🚨Identificamos e removemos uma versão maliciosa do Ledger Connect Kit. 🚨
- Ledger (@Ledger) 14 de dezembro de 2023
Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento. Manteremos você informado à medida que a situação evoluir.
Seu dispositivo Ledger e…
Avisos emitidos pelo Ledger Segurança
Especialistas notáveis em segurança de criptomoedas, incluindo o Banteg, confirmaram o comprometimento da biblioteca Ledger e estão desaconselhando interações com quaisquer aplicativos descentralizados (dApps) até que surja mais clareza. A vulnerabilidade parece também afetar o ledger connect-kit-loader, pois especifica a dependência vagamente.
O ataque impacta potencialmente uma ampla gama de partes, conforme indicado por uma lista de bibliotecas e aplicativos afetados que usam o @ledgerhq/connect-kit. A sugestão de Ledger de usar o carregador do kit de conexão para carregar o kit de conexão agrava o problema, pois mesmo as versões fixadas do carregador buscam a versão mais recente do kit de conexão, levando a uma infiltração generalizada.
🚨 Biblioteca contábil confirmada comprometida e substituída por um escorredor. espere interagir com qualquer dapps até que as coisas fiquem mais claras.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 de dezembro de 2023
Os invasores conseguiram comprometer um número significativo de bibliotecas visando apenas o kit de conexão. Ledger identifica a versão 1.1.4 como o último lançamento seguro conhecido, mas considera todos os lançamentos até 1.1.7, publicados no dia do ataque, como comprometidos.
Este incidente de segurança sublinha a importância crítica de medidas robustas de segurança cibernética no mundo em rápida evolução. Web 3.0, onde mesmo ferramentas bem estabelecidas, como a biblioteca do Ledger, não estão imunes a ataques cibernéticos sofisticados.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Nik é um talentoso analista e escritor da Metaverse Post, especializada em fornecer insights de ponta no mundo acelerado da tecnologia, com ênfase particular em AI/ML, XR, VR, análise on-chain e desenvolvimento de blockchain. Seus artigos envolvem e informam um público diversificado, ajudando-o a ficar à frente da curva tecnológica. Mestre em Economia e Gestão, Nik possui uma sólida compreensão das nuances do mundo dos negócios e sua intersecção com as tecnologias emergentes.
Mais artigosNik é um talentoso analista e escritor da Metaverse Post, especializada em fornecer insights de ponta no mundo acelerado da tecnologia, com ênfase particular em AI/ML, XR, VR, análise on-chain e desenvolvimento de blockchain. Seus artigos envolvem e informam um público diversificado, ajudando-o a ficar à frente da curva tecnológica. Mestre em Economia e Gestão, Nik possui uma sólida compreensão das nuances do mundo dos negócios e sua intersecção com as tecnologias emergentes.