Библиотека Ledger ConnectKit скомпрометирована с помощью Drainer, что представляет угрозу безопасности для Web3 Apps
Коротко
Библиотека ConnectKit компании Ledger была взломана, в результате чего законный инструмент был заменен скриптом-сборщиком, который выявил множество Web3 Программы.
Нарушение безопасности произошло в Web3 сфере, ставя под угрозу Леджер КоннектКит библиотека, имеющая решающее значение для связи Ledger Live с приложениями. Этот взлом предполагает замену библиотеки «сливным» скриптом, представляющим серьезную угрозу средствам пользователей.
Скомпрометированный пакет ConnectKit автоматически загружает сценарий JavaScript с cdn.jsdelivr.net, который включает в себя фильтр, в глобальную область видимости.
Это проникновение сделало уязвимым интерфейс приложений, использующих эту библиотеку, особенно после авторизации пользователя. В отчетах указывается, что злоумышленники изменили модальное окно подключения к кошельку, подвергая риску всех владельцев кошельков, а не только тех, кто использует Ledger Live.
🚨Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. 🚨
- Ledger (@Ledger) 14 декабря 2023
Сейчас выпускается подлинная версия, которая заменит вредоносный файл. На данный момент не взаимодействуйте ни с какими децентрализованными приложениями. Мы будем держать вас в курсе по мере развития ситуации.
Ваше устройство Ledger и…
Предупреждения, выпущенные Ledger Безопасность
Известные эксперты по безопасности криптовалют, в том числе Бантег, подтвердили компрометацию библиотеки Ledger и советуют не взаимодействовать с любыми децентрализованными приложениями (dApps), пока не появится больше ясности. Уязвимость, похоже, также затрагивает загрузчик Ledger Connect-Kit-Loader, поскольку он слабо определяет зависимость.
Атака потенциально затрагивает широкий круг сторон, о чем свидетельствует список затронутых библиотек и приложений с использованием @ledgerhq/connect-kit. Предложение Ledger использовать загрузчик Connect-Kit для загрузки Connect-Kit усугубляет проблему, поскольку даже закрепленные версии загрузчика получают последнюю версию Connect-Kit, что приводит к повсеместному проникновению.
🚨 Библиотека реестра подтверждена как скомпрометированная и заменена фильтром. подождите, взаимодействуя с любыми децентрализованными приложениями, пока все не прояснится.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- бантег (@bantg) 14 декабря 2023
Злоумышленникам удалось скомпрометировать значительное количество библиотек, нацелившись только на комплект подключения. Ledger идентифицирует версию 1.1.4 как последний известный безопасный выпуск, но считает все выпуски до 1.1.7, опубликованные в день атаки, скомпрометированными.
Этот инцидент безопасности подчеркивает критическую важность надежных мер кибербезопасности в быстро развивающемся мире. Web 3.0, где даже такие хорошо зарекомендовавшие себя инструменты, как библиотека Ledger, не застрахованы от изощренных кибератак.
Отказ от ответственности
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Ник — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.
Другие статьи
Ник — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.
