Декабрь 14, 2023

Ледгер ЦоннецтКит библиотека компромитована са одводом, представља безбедносни ризик за Web3 апликације

by Ник Асти

Објављено: 14. децембра 2023. у 8:48 Ажурирано: 14. децембра 2023. у 8:48

by Вицтор Деи

Измењено и проверено: 14. децембар 2023. у 8:48

Укратко

Пробијена је Ледгерова библиотека ЦоннецтКит, заменивши легитимну алатку скриптом која је разоткрила бројне Web3 аппс.

Ледгер ЦоннецтКит библиотека је угрожена, представља безбедносни ризик за Web 3.0 Апликације

Дошло је до кршења безбедности у Web3 сфери, компромитујући Ледгер ЦоннецтКит библиотека, кључна за повезивање Ледгер Ливе-а са апликацијама. Овај хак укључује замену библиотеке са скриптом за испуштање, што представља озбиљну претњу по фондове корисника.

Компромитовани пакет, ЦоннецтКит —- аутоматски учитава ЈаваСцрипт скрипту са цдн.јсделивр.нет, која укључује дренаж, у глобални опсег.

Ова инфилтрација је учинила фронтенд апликација које користе ову библиотеку рањивим, посебно након ауторизације корисника. Извештаји показују да су нападачи променили модални прозор за повезивање новчаника, доводећи све власнике новчаника у опасност, а не само оне који користе Ледгер Ливе.

🚨Идентификовали смо и уклонили злонамерну верзију Ледгер Цоннецт комплета. 🚨

Сада се поставља оригинална верзија да замени злонамерну датотеку. Тренутно немојте комуницирати ни са једном дАппс-ом. Обавештаваћемо вас како се ситуација буде развијала.

Ваш Ледгер уређај и…
- књига (@ књига) Декабрь 14, 2023

Упозорења издала Ледгер безбедност

Значајни стручњаци за безбедност криптовалута, укључујући бантег, потврдили су компромис библиотеке Ледгер и саветују да не комуницирате са било којим децентрализованим апликацијама (дАппс) док се не појави више јасноће. Чини се да рањивост такође утиче на учитавач комплета за повезивање главне књиге, јер слабо специфицира зависност.

Напад потенцијално утиче на широк спектар страна, на шта указује листа погођених библиотека и апликација које користе @ледгерхк/цоннецт-кит. Леџеров предлог да се користи пуњач за повезивање за учитавање комплета за повезивање погоршава проблем, јер чак и закачене верзије лоадера преузимају најновију верзију комплета за повезивање, што доводи до широко распрострањене инфилтрације.

🚨 Библиотека књиге потврђена је компромитована и замењена одводом. сачекајте интеракцију са било којим дапп-овима док ствари не постану јасније.https://t.co/xapunW8zC3 пиц.твиттер.цом/НлАц11вхдв
- бантег (@бантг) Декабрь 14, 2023

Нападачи су успели да угрозе значајан број библиотека циљајући само комплет за повезивање. Ледгер идентификује верзију 1.1.4 као последње познато сигурно издање, али сматра да су компромитована сва издања до 1.1.7, објављена на дан напада.

Овај безбедносни инцидент наглашава критичну важност робусних мера сајбер безбедности у брзом развоју Web 3.0 домену, где чак ни добро успостављени алати попут Ледгерове библиотеке нису имуни на софистициране сајбер нападе.

Одрицање од одговорности

У складу са Смернице пројекта Труст, имајте на уму да информације дате на овој страници нису намењене и не треба да се тумаче као правни, порески, инвестициони, финансијски или било који други облик савета. Важно је да инвестирате само оно што можете приуштити да изгубите и да тражите независан финансијски савет ако сумњате. За додатне информације, предлажемо да погледате одредбе и услове, као и странице помоћи и подршке које пружа издавач или оглашивач. MetaversePost је посвећен тачном, непристрасном извештавању, али тржишни услови су подложни променама без претходне најаве.

О аутору

Ник је искусан аналитичар и писац у Metaverse Post, специјализована за пружање најсавременијих увида у свет технологије који се брзо развија, са посебним нагласком на АИ/МЛ, КСР, ВР, он-цхаин аналитику и развој блокчејна. Његови чланци ангажују и информишу разнолику публику, помажући им да буду испред технолошке криве. Поседујући мастер диплому из економије и менаџмента, Ник добро разуме нијансе пословног света и његовог укрштања са новим технологијама.

više чланака

Ник Асти