Biblioteca Ledger ConnectKit compromisă cu un scurgere, care prezintă riscuri de securitate pentru Web3 Aplicații
Pe scurt
Biblioteca ConnectKit a Ledger a fost încălcată, înlocuind instrumentul legitim cu un script de scurgere care a expus numeroase Web3 Aplicații.
O breșă de securitate a avut loc în Web3 sfera, compromitand Ledger ConnectKit bibliotecă, crucială pentru conectarea Ledger Live cu aplicațiile. Acest hack implică înlocuirea bibliotecii cu un script „drainer”, reprezentând o amenințare serioasă pentru fondurile utilizatorilor.
Pachetul compromis, ConnectKit —- încarcă automat un script JavaScript din cdn.jsdelivr.net, care include un drener, în domeniul global.
Această infiltrare a făcut ca interfața aplicațiilor care utilizează această bibliotecă vulnerabilă, în special după autorizarea utilizatorului. Rapoartele indică faptul că atacatorii au modificat fereastra modală de conectare a portofelului, punând în pericol toți proprietarii de portofel, nu doar cei care folosesc Ledger Live.
🚨Am identificat și eliminat o versiune rău intenționată a kit-ului Ledger Connect. 🚨
- Ledger (@Ledger) December 14, 2023
O versiune autentică este împinsă acum pentru a înlocui fișierul rău intenționat. Nu interacționați cu niciun dApps pentru moment. Vă vom ține la curent pe măsură ce situația evoluează.
Dispozitivul dvs. Ledger și...
Avertismente emise de Ledger Securitate
Experți remarcabili în securitatea criptomonedei, inclusiv banteg, au confirmat compromisul bibliotecii Ledger și sfătuiesc interacțiunile cu orice aplicație descentralizată (dApps) până când apare mai multă claritate. Vulnerabilitatea pare să afecteze și ledger connect-kit-loader, deoarece specifică dependența vag.
Atacul poate afecta o gamă largă de părți, așa cum este indicat de o listă de biblioteci și aplicații afectate care utilizează @ledgerhq/connect-kit. Sugestia Ledger de a utiliza încărcătorul connect-kit pentru încărcarea connect-kit exacerbează problema, deoarece chiar și versiunile fixate ale încărcătorului preiau cea mai recentă versiune de connect-kit, ceea ce duce la o infiltrare larg răspândită.
🚨 Bibliotecă registru confirmată compromisă și înlocuită cu un drener. așteaptă să interacționezi cu orice dapp până când lucrurile devin mai clare.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) December 14, 2023
Atacatorii au reușit să compromită un număr semnificativ de biblioteci țintind doar kitul de conectare. Ledger identifică versiunea 1.1.4 ca ultima versiune sigură cunoscută, dar consideră că toate versiunile până la 1.1.7, postate în ziua atacului, sunt compromise.
Acest incident de securitate subliniază importanța critică a măsurilor solide de securitate cibernetică în contextul în evoluție rapidă. Web 3.0, unde chiar și instrumentele bine stabilite, precum biblioteca lui Ledger, nu sunt imune la atacurile cibernetice sofisticate.
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Nik este un analist și scriitor desăvârșit la Metaverse Post, specializată în furnizarea de informații de ultimă oră în lumea rapidă a tehnologiei, cu un accent deosebit pe AI/ML, XR, VR, analize în lanț și dezvoltare blockchain. Articolele sale atrag și informează un public divers, ajutându-l să rămână în fruntea curbei tehnologice. Deținând o diplomă de master în economie și management, Nik are o înțelegere solidă a nuanțelor lumii afacerilor și a intersecției acesteia cu tehnologiile emergente.
Mai multe articoleNik este un analist și scriitor desăvârșit la Metaverse Post, specializată în furnizarea de informații de ultimă oră în lumea rapidă a tehnologiei, cu un accent deosebit pe AI/ML, XR, VR, analize în lanț și dezvoltare blockchain. Articolele sale atrag și informează un public divers, ajutându-l să rămână în fruntea curbei tehnologice. Deținând o diplomă de master în economie și management, Nik are o înțelegere solidă a nuanțelor lumii afacerilor și a intersecției acesteia cu tehnologiile emergente.