Knižnica Ledger ConnectKit skompromitovaná s odkvapkávačom, čo predstavuje bezpečnostné riziká Web3 aplikácie
Stručne
Knižnica ConnectKit spoločnosti Ledger bola narušená a legitímny nástroj bol nahradený skriptom odkvapkávania, ktorý odhalil mnohé Web3 aplikácie.
Došlo k narušeniu bezpečnosti v Web3 guľa, ktorá ohrozuje Ledger ConnectKit knižnica, kľúčová pre prepojenie Ledger Live s aplikáciami. Tento hack zahŕňa nahradenie knižnice „odkvapkávacím“ skriptom, čo predstavuje vážnu hrozbu pre finančné prostriedky používateľov.
Kompromitovaný balík ConnectKit —- automaticky načíta skript JavaScript z cdn.jsdelivr.net, ktorý obsahuje odkvapkávač, do globálneho rozsahu.
Táto infiltrácia spôsobila zraniteľnosť frontendu aplikácií využívajúcich túto knižnicu, najmä po autorizácii používateľa. Správy naznačujú, že útočníci zmenili modálne okno pripojenia k peňaženke, čím ohrozili všetkých vlastníkov peňaženiek, nielen tých, ktorí Ledger naživo.
🚨 Identifikovali sme a odstránili škodlivú verziu súpravy Ledger Connect Kit. 🚨
- Ledger (@Ledger) Decembra 14, 2023
Teraz sa presadzuje originálna verzia, ktorá nahradí škodlivý súbor. Momentálne nekomunikujte so žiadnymi dApps. O vývoji situácie vás budeme priebežne informovať.
Vaše zariadenie Ledger a…
Varovania vydané Ledgerom zabezpečenia
Významní odborníci na bezpečnosť kryptomien, vrátane bantegu, potvrdili kompromis knižnice Ledger a neodporúčajú interakcie s akýmikoľvek decentralizovanými aplikáciami (dApps), kým nebude jasnejšie. Zdá sa, že táto chyba zabezpečenia ovplyvňuje aj načítač súpravy na pripojenie účtovnej knihy, pretože voľne špecifikuje závislosť.
Útok môže potenciálne ovplyvniť široké spektrum strán, ako naznačuje zoznam ovplyvnených knižníc a aplikácií, ktoré používajú @ledgerhq/connect-kit. Ledgerov návrh použiť na načítanie pripojovacej súpravy zavádzač pripájacej súpravy tento problém ešte zhoršuje, pretože aj pripnuté verzie zavádzača načítavajú najnovšiu verziu pripájacej súpravy, čo vedie k rozsiahlej infiltrácii.
🚨 knižnica účtovných kníh bola potvrdená napadnutá a nahradená odkvapkávačom. počkajte na interakciu s akýmikoľvek dapps, kým sa veci nevyjasnia.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Decembra 14, 2023
Útočníkom sa podarilo kompromitovať značný počet knižníc tým, že sa zamerali len na súpravu pripojenia. Ledger identifikuje verziu 1.1.4 ako posledné známe bezpečné vydanie, ale považuje všetky vydania do 1.1.7 zverejnené v deň útoku za napadnuté.
Tento bezpečnostný incident podčiarkuje zásadný význam robustných opatrení v oblasti kybernetickej bezpečnosti v rýchlo sa vyvíjajúcom prostredí Web 3doména .0, kde ani dobre zavedené nástroje ako Ledgerova knižnica nie sú imúnne voči sofistikovaným kybernetickým útokom.
Vylúčenie zodpovednosti
V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.
O autorovi
Nik je uznávaný analytik a spisovateľ v Metaverse Post, ktorá sa špecializuje na poskytovanie špičkových náhľadov do rýchlo sa rozvíjajúceho sveta technológií s osobitným dôrazom na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapájajú a informujú rôznorodé publikum a pomáhajú mu udržať si náskok pred technologickou krivkou. Nik, ktorý má magisterský titul v odbore ekonómia a manažment, dobre rozumie nuansám obchodného sveta a jeho prieniku s novými technológiami.
Ďalšie článkyNik je uznávaný analytik a spisovateľ v Metaverse Post, ktorá sa špecializuje na poskytovanie špičkových náhľadov do rýchlo sa rozvíjajúceho sveta technológií s osobitným dôrazom na AI/ML, XR, VR, on-chain analytiku a vývoj blockchainu. Jeho články zapájajú a informujú rôznorodé publikum a pomáhajú mu udržať si náskok pred technologickou krivkou. Nik, ktorý má magisterský titul v odbore ekonómia a manažment, dobre rozumie nuansám obchodného sveta a jeho prieniku s novými technológiami.