Звіт про новини Софтвер Технологія
14 Грудня, 2023

Бібліотека Ledger ConnectKit скомпрометована за допомогою дрейнера, що становить загрозу безпеці Web3 додатки

Коротко

Бібліотеку ConnectKit Ledger було зламано, замінивши легітимний інструмент сценарієм дренажу, який викрив численні Web3 додатки

Бібліотека Ledger ConnectKit зламана, що становить загрозу безпеці Web 3.0 Програми

Сталося порушення безпеки в Web3 сфері, компрометуючи в Ledger ConnectKit бібліотека, важлива для зв’язку Ledger Live із програмами. Цей хак передбачає заміну бібліотеки сценарієм «зливу», що створює серйозну загрозу для коштів користувачів.

Скомпрометований пакет ConnectKit — автоматично завантажує сценарій JavaScript із cdn.jsdelivr.net, який містить засіб очищення, у глобальну область.

Це зараження зробило зовнішній інтерфейс програм, які використовують цю бібліотеку, уразливим, особливо після авторизації користувача. Звіти свідчать про те, що зловмисники змінили модальне вікно підключення гаманця, поставивши під загрозу всіх власників гаманця, а не лише тих, хто використовує Ledger Live.

Попередження, видані Ledger Безпека

Відомі експерти з безпеки криптовалют, включаючи banteg, підтвердили компрометацію бібліотеки Ledger і радять уникати взаємодії з будь-якими децентралізованими програмами (dApps), доки не стане ясно. Схоже, що вразливість також впливає на завантажувач підключення Ledger Connect-Kit-Loader, оскільки в ньому неточно вказано залежність.

Атака потенційно може вплинути на широке коло сторін, про що свідчить список уражених бібліотек і програм, які використовують @ledgerhq/connect-kit. Пропозиція Ledger використовувати завантажувач connect-kit для завантаження connect-kit посилює проблему, оскільки навіть закріплені версії завантажувача отримують останню версію connect-kit, що призводить до широкого зараження.

Зловмисникам вдалося скомпрометувати значну кількість бібліотек, націлившись лише на комплект підключення. Ledger визначає версію 1.1.4 як останній відомий безпечний випуск, але вважає всі випуски до 1.1.7, опубліковані в день атаки, скомпрометованими.

Цей інцидент із безпекою підкреслює критичну важливість надійних заходів кібербезпеки в світі, що швидко розвивається Web 3Домен .0, де навіть добре запроваджені інструменти, такі як бібліотека Ledger, не захищені від складних кібератак.

відмова

Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.

про автора

Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.

інші статті
Нік Асті
Нік Асті

Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.

Hot Stories
Приєднуйтеся до нашої розсилки.
Останні новини

Від Ripple до The Big Green DAO: як криптовалютні проекти сприяють благодійності

Давайте розглянемо ініціативи, які використовують потенціал цифрових валют для благодійних цілей.

Дізнайтеся більше

AlphaFold 3, Med-Gemini та інші: як AI трансформує охорону здоров’я у 2024 році

ШІ проявляється різними способами в охороні здоров’я, від виявлення нових генетичних кореляцій до розширення можливостей роботизованих хірургічних систем...

Дізнайтеся більше
Приєднуйтесь до нашої спільноти інноваційних технологій
Детальніше
Читати далі
Crypto Exchange Jupiter представить Jupiter Swap V3, Dynamic Slippage та інші ключові оновлення в найближчі тижні
ринки Звіт про новини Технологія
Crypto Exchange Jupiter представить Jupiter Swap V3, Dynamic Slippage та інші ключові оновлення в найближчі тижні
14 Червня, 2024.
Polygon дебютує як центр управління, що забезпечує єдиний прозорий інтерфейс для управління спільнотою
Звіт про новини Технологія
Polygon дебютує як центр управління, що забезпечує єдиний прозорий інтерфейс для управління спільнотою 
14 Червня, 2024.
Binance зареєструвала понад 30 мільйонів нових користувачів у 2024 році, активи клієнтів перевищили позначку в 100 мільярдів доларів
ринки Звіт про новини Технологія
Binance зареєструвала понад 30 мільйонів нових користувачів у 2024 році, активи клієнтів перевищили позначку в 100 мільярдів доларів
14 Червня, 2024.
Amazon підтримує стартапи Generative AI, інвестувавши 230 мільйонів доларів, виділяє 80 мільйонів доларів на свою другу програму AWS Generative AI Accelerator
Business Звіт про новини Технологія
Amazon підтримує стартапи Generative AI, інвестувавши 230 мільйонів доларів, виділяє 80 мільйонів доларів на свою другу програму AWS Generative AI Accelerator
14 Червня, 2024.
CRYPTOMERIA LABS PTE. LTD.