Бібліотека Ledger ConnectKit скомпрометована за допомогою дрейнера, що становить загрозу безпеці Web3 додатки
Коротко
Бібліотеку ConnectKit Ledger було зламано, замінивши легітимний інструмент сценарієм дренажу, який викрив численні Web3 додатки
Сталося порушення безпеки в Web3 сфері, компрометуючи в Ledger ConnectKit бібліотека, важлива для зв’язку Ledger Live із програмами. Цей хак передбачає заміну бібліотеки сценарієм «зливу», що створює серйозну загрозу для коштів користувачів.
Скомпрометований пакет ConnectKit — автоматично завантажує сценарій JavaScript із cdn.jsdelivr.net, який містить засіб очищення, у глобальну область.
Це зараження зробило зовнішній інтерфейс програм, які використовують цю бібліотеку, уразливим, особливо після авторизації користувача. Звіти свідчать про те, що зловмисники змінили модальне вікно підключення гаманця, поставивши під загрозу всіх власників гаманця, а не лише тих, хто використовує Ledger Live.
🚨Ми виявили та видалили шкідливу версію Ledger Connect Kit. 🚨
- Леджер (@Ledger) 14 Грудня, 2023
На заміну зловмисному файлу зараз просувається справжня версія. Наразі не взаємодійте з будь-якими dApps. Ми будемо інформувати вас про розвиток ситуації.
Ваш пристрій Ledger і…
Попередження, видані Ledger Безпека
Відомі експерти з безпеки криптовалют, включаючи banteg, підтвердили компрометацію бібліотеки Ledger і радять уникати взаємодії з будь-якими децентралізованими програмами (dApps), доки не стане ясно. Схоже, що вразливість також впливає на завантажувач підключення Ledger Connect-Kit-Loader, оскільки в ньому неточно вказано залежність.
Атака потенційно може вплинути на широке коло сторін, про що свідчить список уражених бібліотек і програм, які використовують @ledgerhq/connect-kit. Пропозиція Ledger використовувати завантажувач connect-kit для завантаження connect-kit посилює проблему, оскільки навіть закріплені версії завантажувача отримують останню версію connect-kit, що призводить до широкого зараження.
🚨 Бібліотека облікової книги підтверджено зламано та замінено програмою для зливу. зачекайте, взаємодіючи з будь-якими програмами, доки все не проясниться.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 Грудня, 2023
Зловмисникам вдалося скомпрометувати значну кількість бібліотек, націлившись лише на комплект підключення. Ledger визначає версію 1.1.4 як останній відомий безпечний випуск, але вважає всі випуски до 1.1.7, опубліковані в день атаки, скомпрометованими.
Цей інцидент із безпекою підкреслює критичну важливість надійних заходів кібербезпеки в світі, що швидко розвивається Web 3Домен .0, де навіть добре запроваджені інструменти, такі як бібліотека Ledger, не захищені від складних кібератак.
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.
інші статтіНік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.