Knjižnica Ledger ConnectKit ogrožena z izčrpavalnikom, kar predstavlja varnostno tveganje Web3 Aplikacije
Na kratko
Ledgerjeva knjižnica ConnectKit je bila kršena, pri čemer je bilo zakonito orodje zamenjano s skriptom za izčrpavanje, ki je razkril številne Web3 aplikacije.
Prišlo je do kršitve varnosti v Web3 sfero, ki ogroža Ledger ConnectKit knjižnica, ključnega pomena za povezovanje Ledger Live z aplikacijami. Ta vdor vključuje zamenjavo knjižnice s skriptom 'drainer', kar resno ogroža sredstva uporabnikov.
Ogroženi paket ConnectKit —- samodejno naloži skript JavaScript iz cdn.jsdelivr.net, ki vključuje izčrpavalec, v globalni obseg.
Zaradi te infiltracije je bil sprednji del aplikacij, ki uporabljajo to knjižnico, ranljiv, zlasti po avtorizaciji uporabnika. Poročila kažejo, da so napadalci spremenili modalno okno za povezavo denarnice, s čimer so ogrozili vse lastnike denarnice, ne le tiste, ki uporabljajo Ledger Live.
🚨Identificirali in odstranili smo zlonamerno različico kompleta Ledger Connect. 🚨
- knjiga (@ knjiga) December 14, 2023
Za zamenjavo zlonamerne datoteke se trenutno pripravlja pristna različica. Trenutno ne komunicirajte z nobeno aplikacijo dApp. Obveščali vas bomo o razvoju situacije.
Vaša naprava Ledger in ...
Opozorila, ki jih je izdal Ledger Varnost
Pomembni strokovnjaki za varnost kriptovalut, vključno z bantegom, so potrdili kompromis knjižnice Ledger in odsvetujejo interakcije s kakršnimi koli decentraliziranimi aplikacijami (dApps), dokler ne bo jasnosti. Zdi se, da ranljivost vpliva tudi na nalagalnik kompleta za povezavo glavne knjige, saj ohlapno določa odvisnost.
Napad lahko vpliva na širok nabor strank, kot je razvidno iz seznama prizadetih knjižnic in aplikacij, ki uporabljajo @ledgerhq/connect-kit. Ledgerjev predlog, da se za nalaganje kompleta za povezovanje uporabi nalagalnik kompleta za povezovanje, še poslabša težavo, saj celo pripete različice nakladalnika pridobijo najnovejšo različico kompleta za povezovanje, kar vodi do razširjene infiltracije.
🚨 Knjižnica glavne knjige je potrjeno ogrožena in zamenjana z izčrpovalnikom. počakajte z interakcijo s katerim koli dappom, dokler stvari ne postanejo jasnejše.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) December 14, 2023
Napadalcem je uspelo ogroziti veliko število knjižnic tako, da so ciljali samo na komplet za povezovanje. Ledger identificira različico 1.1.4 kot zadnjo znano varno izdajo, vendar meni, da so vse izdaje do 1.1.7, objavljene na dan napada, ogrožene.
Ta varnostni incident poudarja ključni pomen močnih ukrepov kibernetske varnosti v hitro razvijajočem se okolju Web 3.0, kjer tudi dobro uveljavljena orodja, kot je Ledgerjeva knjižnica, niso imuna na sofisticirane kibernetske napade.
Zavrnitev odgovornosti
V skladu z Smernice projekta Trust, upoštevajte, da informacije na tej strani niso namenjene in se jih ne sme razlagati kot pravni, davčni, naložbeni, finančni ali kakršen koli drug nasvet. Pomembno je, da vlagate samo tisto, kar si lahko privoščite izgubiti, in da poiščete neodvisen finančni nasvet, če imate kakršne koli dvome. Za dodatne informacije predlagamo, da si ogledate določila in pogoje ter strani s pomočjo in podporo, ki jih nudi izdajatelj ali oglaševalec. MetaversePost se zavzema za natančno in nepristransko poročanje, vendar se tržni pogoji lahko spremenijo brez predhodnega obvestila.
O avtorju
Nik je uspešen analitik in pisec pri Metaverse Post, specializirano za zagotavljanje najsodobnejših vpogledov v hiter svet tehnologije, s posebnim poudarkom na AI/ML, XR, VR, verižni analitiki in razvoju blokovnih verig. Njegovi članki privabljajo in obveščajo raznoliko občinstvo ter jim pomagajo ostati pred tehnološko krivuljo. Po izobrazbi magisterij iz ekonomije in menedžmenta Nik dobro razume nianse poslovnega sveta in njegovega presečišča z nastajajočimi tehnologijami.
več člankovNik je uspešen analitik in pisec pri Metaverse Post, specializirano za zagotavljanje najsodobnejših vpogledov v hiter svet tehnologije, s posebnim poudarkom na AI/ML, XR, VR, verižni analitiki in razvoju blokovnih verig. Njegovi članki privabljajo in obveščajo raznoliko občinstvo ter jim pomagajo ostati pred tehnološko krivuljo. Po izobrazbi magisterij iz ekonomije in menedžmenta Nik dobro razume nianse poslovnega sveta in njegovega presečišča z nastajajočimi tehnologijami.