Ledger ConnectKit-bibliotek äventyras med en dränering, vilket innebär säkerhetsrisker Web3 appar
I korthet
Ledgers ConnectKit-bibliotek bröts upp, och ersatte det legitima verktyget med ett dräneringsskript som avslöjade många Web3 appar.
Ett säkerhetsintrång inträffade i Web3 sfär, äventyrar Ledger ConnectKit bibliotek, avgörande för att länka Ledger Live med applikationer. Detta hack innebär att biblioteket ersätts med ett "drainer"-skript, vilket utgör ett allvarligt hot mot användarnas pengar.
Det komprometterade paketet, ConnectKit —- läser automatiskt in ett JavaScript-skript från cdn.jsdelivr.net, som inkluderar en dränering, till det globala omfånget.
Denna infiltration gjorde gränssnittet för applikationer som använder detta bibliotek sårbart, särskilt efter användarauktorisering. Rapporter tyder på att angripare har ändrat det modala fönstret för plånboksanslutningen, vilket utsätter alla plånboksägare i riskzonen, inte bara de som använder Ledger Live.
🚨Vi har identifierat och tagit bort en skadlig version av Ledger Connect Kit. 🚨
- Ledger (@Ledger) December 14, 2023
En äkta version skickas för att ersätta den skadliga filen nu. Interagera inte med några dApps för tillfället. Vi kommer att hålla dig informerad när situationen utvecklas.
Din Ledger-enhet och...
Varningar utfärdade av Ledger Säkerhet
Anmärkningsvärda säkerhetsexperter för kryptovaluta, inklusive banteg, har bekräftat Ledger-bibliotekets kompromiss och avråder från interaktioner med alla decentraliserade applikationer (dApps) tills mer klarhet uppstår. Sårbarheten verkar också påverka ledger connect-kit-loader, eftersom den specificerar beroendet löst.
Attacken påverkar potentiellt ett brett spektrum av parter, vilket framgår av en lista över påverkade bibliotek och applikationer som använder @ledgerhq/connect-kit. Ledgers förslag att använda connect-kit loader för att ladda connect-kit förvärrar problemet, eftersom till och med stiftade versioner av loader hämtar den senaste versionen av connect-kit, vilket leder till omfattande infiltration.
🚨 Det har bekräftats att reskontrabiblioteket har komprometterats och ersatts med ett avlopp. vänta ut att interagera med några dapps tills saker blir klarare.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) December 14, 2023
Angripare har lyckats äventyra ett betydande antal bibliotek genom att bara rikta in sig på connect-kit. Ledger identifierar version 1.1.4 som den senast kända säkra utgåvan, men anser att alla utgåvor upp till 1.1.7, publicerade på dagen för attacken, är komprometterade.
Denna säkerhetsincident understryker den avgörande betydelsen av robusta cybersäkerhetsåtgärder i den snabba utvecklingen Web 3.0-domän, där även väletablerade verktyg som Ledgers bibliotek inte är immuna mot sofistikerade cyberattacker.
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Nik är en skicklig analytiker och författare på Metaverse Post, specialiserat på att leverera banbrytande insikter i den snabba teknikvärlden, med särskild tonvikt på AI/ML, XR, VR, on-chain analytics och blockchain-utveckling. Hans artiklar engagerar och informerar en mångfaldig publik och hjälper dem att ligga före den tekniska kurvan. Med en magisterexamen i ekonomi och management har Nik ett gediget grepp om nyanserna i affärsvärlden och dess korsning med framväxande teknologier.
fler artiklarNik är en skicklig analytiker och författare på Metaverse Post, specialiserat på att leverera banbrytande insikter i den snabba teknikvärlden, med särskild tonvikt på AI/ML, XR, VR, on-chain analytics och blockchain-utveckling. Hans artiklar engagerar och informerar en mångfaldig publik och hjälper dem att ligga före den tekniska kurvan. Med en magisterexamen i ekonomi och management har Nik ett gediget grepp om nyanserna i affärsvärlden och dess korsning med framväxande teknologier.