Ledger ConnectKit Library Nakompromiso sa isang Drainer, Naglalagay ng Mga Panganib sa Seguridad sa Web3 Apps
Sa madaling sabi
Nilabag ang library ng ConnectKit ng Ledger, pinalitan ang lehitimong tool ng drainer script na naglantad ng maraming Web3 apps.
Isang paglabag sa seguridad ang naganap sa Web3 globo, na nakompromiso ang Ledger ConnectKit library, mahalaga para sa pag-link ng Ledger Live sa mga application. Ang hack na ito ay nagsasangkot ng pagpapalit ng library ng isang 'drainer' na script, na nagdudulot ng seryosong banta sa mga pondo ng user.
Ang nakompromisong package, ConnectKit —- awtomatikong naglo-load ng JavaScript script mula sa cdn.jsdelivr.net, na may kasamang drainer, sa pandaigdigang saklaw.
Dahil sa infiltration na ito, naging mahina ang frontend ng mga application na gumagamit ng library na ito, lalo na pagkatapos ng pahintulot ng user. Isinasaad ng mga ulat na binago ng mga umaatake ang modal window ng koneksyon sa wallet, na inilalagay sa panganib ang lahat ng may-ari ng wallet, hindi lamang ang mga gumagamit Ledger Live.
🚨Natukoy at inalis namin ang isang nakakahamak na bersyon ng Ledger Connect Kit. 🚨
- Ledger (@Ledger) Disyembre 14, 2023
Ang isang tunay na bersyon ay itinutulak upang palitan ang nakakahamak na file ngayon. Huwag makipag-ugnayan sa anumang dApps sa sandaling ito. Ipapaalam namin sa iyo habang nagbabago ang sitwasyon.
Ang iyong Ledger device at…
Mga Babala na Inilabas ng Ledger Katiwasayan
Ang mga kilalang eksperto sa seguridad ng cryptocurrency, kabilang ang banteg, ay nakumpirma ang kompromiso ng Ledger library at nagpapayo laban sa mga pakikipag-ugnayan sa anumang mga desentralisadong aplikasyon (dApps) hanggang sa lumitaw ang higit pang kalinawan. Ang kahinaan ay lumilitaw na nakakaapekto rin sa ledger connect-kit-loader, dahil maluwag nitong tinukoy ang dependency.
Ang pag-atake ay maaaring makaapekto sa isang malawak na hanay ng mga partido, tulad ng ipinahiwatig ng isang listahan ng mga apektadong library at application gamit ang @ledgerhq/connect-kit. Ang mungkahi ng Ledger na gumamit ng connect-kit loader para sa pag-load ng connect-kit ay nagpapalala sa isyu, dahil kahit na ang mga naka-pin na bersyon ng loader ay kinukuha ang pinakabagong bersyon ng connect-kit, na humahantong sa malawakang pagpasok.
Kinumpirma ng 🚨 ledger library na nakompromiso at pinalitan ng drainer. maghintay sa pakikipag-ugnayan sa anumang dapps hanggang sa maging mas malinaw ang mga bagay.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Disyembre 14, 2023
Nagawa ng mga umaatake na ikompromiso ang malaking bilang ng mga aklatan sa pamamagitan ng pag-target lamang sa connect-kit. Tinutukoy ng Ledger ang bersyon 1.1.4 bilang ang huling alam na ligtas na release, ngunit isinasaalang-alang ang lahat ng release hanggang 1.1.7, na nai-post sa araw ng pag-atake, bilang nakompromiso.
Binibigyang-diin ng insidente sa seguridad na ito ang kritikal na kahalagahan ng matatag na mga hakbang sa cybersecurity sa mabilis na pag-unlad Web 3.0 na domain, kung saan kahit na ang mga mahusay na tool tulad ng library ng Ledger ay hindi immune sa mga sopistikadong pag-atake sa cyber.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Nik ay isang magaling na analyst at manunulat sa Metaverse Post, na dalubhasa sa paghahatid ng mga makabagong insight sa mabilis na mundo ng teknolohiya, na may partikular na diin sa AI/ML, XR, VR, on-chain analytics, at blockchain development. Ang kanyang mga artikulo ay nakikipag-ugnayan at nagpapaalam sa magkakaibang madla, na tumutulong sa kanila na manatiling nangunguna sa teknolohikal na kurba. Ang pagkakaroon ng isang Master's degree sa Economics at Pamamahala, si Nik ay may matatag na kaalaman sa mga nuances ng mundo ng negosyo at ang intersection nito sa mga umuusbong na teknolohiya.
Mas marami pang artikuloSi Nik ay isang magaling na analyst at manunulat sa Metaverse Post, na dalubhasa sa paghahatid ng mga makabagong insight sa mabilis na mundo ng teknolohiya, na may partikular na diin sa AI/ML, XR, VR, on-chain analytics, at blockchain development. Ang kanyang mga artikulo ay nakikipag-ugnayan at nagpapaalam sa magkakaibang madla, na tumutulong sa kanila na manatiling nangunguna sa teknolohikal na kurba. Ang pagkakaroon ng isang Master's degree sa Economics at Pamamahala, si Nik ay may matatag na kaalaman sa mga nuances ng mundo ng negosyo at ang intersection nito sa mga umuusbong na teknolohiya.