December 14, 2023

Ledger ConnectKit Library ถูกบุกรุกด้วย Drainer ซึ่งก่อให้เกิดความเสี่ยงด้านความปลอดภัย Web3 แอป

เผยแพร่: 14 ธันวาคม 2023 เวลา 8:48 น. อัปเดต: 14 ธันวาคม 2023 เวลา 8:48 น.

แก้ไขและตรวจสอบข้อเท็จจริง : 14 ธันวาคม 2023 เวลา 8:48 น

ในบทสรุป

ไลบรารี ConnectKit ของ Ledger ถูกละเมิด โดยแทนที่เครื่องมือที่ถูกต้องตามกฎหมายด้วยสคริปต์ Drainer ที่เปิดเผยข้อมูลจำนวนมาก Web3 ปพลิเคชัน

Ledger ConnectKit Library ถูกบุกรุก ก่อให้เกิดความเสี่ยงด้านความปลอดภัย Web 3.0 การใช้งาน

เกิดการละเมิดความปลอดภัยใน Web3 ทรงกลมประนีประนอม บัญชีแยกประเภท ConnectKit ไลบรารี่ซึ่งมีความสำคัญอย่างยิ่งในการเชื่อมโยง Ledger Live กับแอปพลิเคชัน แฮ็กนี้เกี่ยวข้องกับการแทนที่ไลบรารีด้วยสคริปต์ 'drainer' ซึ่งก่อให้เกิดภัยคุกคามร้ายแรงต่อเงินทุนของผู้ใช้

แพ็คเกจที่ถูกบุกรุก ConnectKit —- จะโหลดสคริปต์ JavaScript จาก cdn.jsdelivr.net โดยอัตโนมัติ ซึ่งรวมถึงตัวระบายลงในขอบเขตส่วนกลาง

การแทรกซึมนี้ทำให้ส่วนหน้าของแอปพลิเคชันที่ใช้ไลบรารีนี้มีช่องโหว่ โดยเฉพาะอย่างยิ่งหลังจากการอนุญาตจากผู้ใช้ รายงานระบุว่าผู้โจมตีได้เปลี่ยนแปลงหน้าต่างโมดอลการเชื่อมต่อกระเป๋าสตางค์ ทำให้เจ้าของกระเป๋าเงินทุกคนตกอยู่ในความเสี่ยง ไม่ใช่แค่เฉพาะผู้ที่ใช้งาน บัญชีแยกประเภทสด.

🚨เราได้ระบุและลบ Ledger Connect Kit เวอร์ชันที่เป็นอันตรายแล้ว 🚨

ขณะนี้มีการผลักดันเวอร์ชันของแท้เพื่อแทนที่ไฟล์ที่เป็นอันตราย ห้ามโต้ตอบกับ dApps ใด ๆ ในขณะนี้ เราจะแจ้งให้คุณทราบเมื่อสถานการณ์มีการเปลี่ยนแปลง

อุปกรณ์บัญชีแยกประเภทของคุณและ...
- บัญชีแยกประเภท (@Ledger) December 14, 2023

คำเตือนที่ออกโดยบัญชีแยกประเภท Security

ผู้เชี่ยวชาญด้านความปลอดภัยของสกุลเงินดิจิทัลที่มีชื่อเสียง รวมถึง banteg ได้ยืนยันการประนีประนอมของไลบรารี Ledger และกำลังให้คำแนะนำเกี่ยวกับการโต้ตอบกับแอปพลิเคชันแบบกระจายอำนาจใด ๆ (dApps) จนกว่าจะมีความชัดเจนมากขึ้น ช่องโหว่ดังกล่าวยังส่งผลต่อ Ledger Connect-Kit-Loader เนื่องจากระบุการพึ่งพาอย่างหลวมๆ

การโจมตีดังกล่าวอาจส่งผลกระทบต่อฝ่ายต่างๆ มากมาย ตามที่ระบุไว้ในรายชื่อไลบรารีและแอปพลิเคชันที่ได้รับผลกระทบซึ่งใช้ @ledgerhq/connect-kit. คำแนะนำของ Ledger ในการใช้ตัวโหลดชุดเชื่อมต่อสำหรับการโหลดชุดเชื่อมต่อทำให้ปัญหารุนแรงขึ้น เนื่องจากแม้แต่ตัวโหลดเวอร์ชันที่ปักหมุดไว้ก็ยังเรียกชุดเชื่อมต่อเวอร์ชันล่าสุด ซึ่งนำไปสู่การแทรกซึมในวงกว้าง

🚨 ห้องสมุดแยกประเภทได้รับการยืนยันว่าถูกบุกรุกและแทนที่ด้วยตัวระบายน้ำ รอการโต้ตอบกับ DApps จนกว่าสิ่งต่างๆ จะชัดเจนขึ้นhttps://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) December 14, 2023

ผู้โจมตีสามารถโจมตีไลบรารี่จำนวนมากได้โดยการกำหนดเป้าหมายเฉพาะชุดเชื่อมต่อ Ledger ระบุเวอร์ชัน 1.1.4 ว่าเป็นรุ่นปลอดภัยล่าสุดที่ทราบ แต่ถือว่ารุ่นทั้งหมดจนถึง 1.1.7 ซึ่งโพสต์ในวันที่มีการโจมตี ว่าถูกบุกรุก

เหตุการณ์ด้านความปลอดภัยนี้เน้นย้ำถึงความสำคัญอย่างยิ่งยวดของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในการพัฒนาอย่างรวดเร็ว Web 3โดเมน .0 ซึ่งแม้แต่เครื่องมือที่มีชื่อเสียงอย่างไลบรารีของ Ledger ก็ไม่สามารถต้านทานการโจมตีทางไซเบอร์ที่ซับซ้อนได้

ข้อจำกัดความรับผิดชอบ

สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า

เกี่ยวกับผู้เขียน

Nik เป็นนักวิเคราะห์และนักเขียนที่ประสบความสำเร็จที่ Metaverse Postซึ่งเชี่ยวชาญในการให้ข้อมูลเชิงลึกที่ทันสมัยในโลกของเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็ว โดยเน้นเป็นพิเศษเกี่ยวกับ AI/ML, XR, VR, การวิเคราะห์บนเชน และการพัฒนาบล็อกเชน บทความของเขามีส่วนร่วมและให้ข้อมูลแก่ผู้ชมที่หลากหลาย ช่วยให้พวกเขานำหน้าเส้นโค้งของเทคโนโลยี Nik สำเร็จการศึกษาระดับปริญญาโทด้านเศรษฐศาสตร์และการจัดการ มีความเข้าใจอย่างถ่องแท้เกี่ยวกับความแตกต่างของโลกธุรกิจและการผสมผสานระหว่างเทคโนโลยีที่เกิดขึ้นใหม่

บทความอื่น ๆ

นิก อัสติ