Ledger ConnectKit kutubxonasi drenaj qurilmasi bilan buzilgan va xavfsizlik uchun xavf tug'diradi Web3 Apps
Qisqacha
Ledger's ConnectKit kutubxonasi buzilgan, bu qonuniy vositani ko'plab ma'lumotlarni ochib beradigan drenaj skripti bilan almashtirgan. Web3 ilovalar.
da xavfsizlik buzilishi sodir bo'ldi Web3 sohani murosaga keltiradi Ledger ConnectKit kutubxona, Ledger Live-ni ilovalar bilan bog'lash uchun juda muhimdir. Bu buzish kutubxonani “drainer” skriptiga almashtirishni o'z ichiga oladi va foydalanuvchi mablag'lari uchun jiddiy xavf tug'diradi.
Buzilgan ConnectKit to'plami cdn.jsdelivr.net dan JavaScript skriptini avtomatik ravishda global miqyosga yuklaydi, u drenajni o'z ichiga oladi.
Ushbu infiltratsiya ushbu kutubxonadan foydalanadigan ilovalarning old qismini, ayniqsa foydalanuvchi avtorizatsiyasidan keyin himoyasiz qildi. Hisobotlar shuni ko'rsatadiki, tajovuzkorlar hamyonga ulanish modali oynasini o'zgartirib, nafaqat foydalanuvchilarni, balki barcha hamyon egalarini xavf ostiga qo'yishgan. Ledger Live.
🚨Biz Ledger Connect Kitning zararli versiyasini aniqladik va olib tashladik. 🚨
- Ledger (@Ledger) Dekabr 14, 2023
Zararli faylni almashtirish uchun haqiqiy versiya hozirda surilmoqda. Hozircha hech qanday dApps bilan aloqa qilmang. Vaziyat o'zgarishi bilan sizni xabardor qilib turamiz.
Ledger qurilmangiz va…
Ledger tomonidan berilgan ogohlantirishlar xavfsizlik
Kriptovalyuta xavfsizligi bo'yicha taniqli mutaxassislar, jumladan banteg, Ledger kutubxonasining murosaga kelishini tasdiqladilar va har qanday markazlashtirilmagan ilovalar bilan o'zaro aloqada bo'lmaslikni maslahat berishmoqda (dApps) ko'proq aniqlik paydo bo'lguncha. Zaiflik ledger connect-kit-loader-ga ham ta'sir qiladi, chunki u bog'liqlikni erkin belgilaydi.
Hujum keng doiradagi tomonlarga ta'sir qilishi mumkin, bu ta'sirlangan kutubxonalar va ilovalar ro'yxatida ko'rsatilgan. @ledgerhq/connect-kit. Ledgerning ulanish to'plamini yuklash uchun ulanish to'plamini yuklovchidan foydalanish taklifi muammoni yanada kuchaytiradi, chunki yuklagichning hatto mahkamlangan versiyalari ham Connect-kitning eng so'nggi versiyasini oladi va bu keng tarqalgan infiltratsiyaga olib keladi.
🚨 Buxgalteriya kitobi kutubxonasi buzilganligi va oʻrniga drenaj moslamasi oʻrnatilgani tasdiqlandi. narsalar aniqroq bo'lgunga qadar har qanday dapplar bilan muloqot qilishni kuting.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Dekabr 14, 2023
Hujumchilar faqat ulanish to'plamini nishonga olib, katta miqdordagi kutubxonalarni buzishga muvaffaq bo'lishdi. Ledger 1.1.4 versiyasini oxirgi ma'lum bo'lgan xavfsiz versiya sifatida belgilaydi, biroq hujum kuni e'lon qilingan 1.1.7 gacha bo'lgan barcha relizlar buzilgan deb hisoblaydi.
Ushbu xavfsizlik hodisasi shiddat bilan rivojlanayotgan kiberxavfsizlik choralarining muhim ahamiyatini ta'kidlaydi Web 3.0 domeni, bu erda hatto Ledger kutubxonasi kabi yaxshi o'rnatilgan vositalar ham murakkab kiberhujumlardan himoyalanmagan.
Masʼuliyatdan voz kechish
Bunga javoban Ishonch loyihasi bo'yicha ko'rsatmalar, iltimos, ushbu sahifada taqdim etilgan ma'lumotlar yuridik, soliq, investitsiya, moliyaviy yoki boshqa har qanday maslahat shakli sifatida talqin qilinmasligi va talqin qilinmasligini unutmang. Faqat yo'qotishingiz mumkin bo'lgan narsaga investitsiya qilish va agar shubhangiz bo'lsa, mustaqil moliyaviy maslahat olish muhimdir. Qo'shimcha ma'lumot olish uchun biz shartlar va emitent yoki reklama beruvchi tomonidan taqdim etilgan yordam va qo'llab-quvvatlash sahifalariga murojaat qilishni tavsiya qilamiz. MetaversePost to'g'ri, xolis hisobot berish majburiyatini oladi, lekin bozor sharoitlari ogohlantirilmasdan o'zgarishi mumkin.
Muallif haqida
Nik - tajribali tahlilchi va yozuvchi Metaverse Post, AI/ML, XR, VR, zanjirdagi tahlillar va blokcheyn rivojlanishiga alohida e'tibor qaratgan holda, texnologiyaning tez sur'atlari olamiga ilg'or tushunchalarni taqdim etishga ixtisoslashgan. Uning maqolalari turli xil auditoriyani jalb qiladi va xabardor qiladi, ularga texnologik egri chiziqdan oldinda bo'lishga yordam beradi. Iqtisodiyot va menejment bo'yicha magistr darajasiga ega bo'lgan Nik biznes olamining nuanslarini va uning yangi texnologiyalar bilan kesishishini yaxshi tushunadi.
Boshqa maqolalarNik - tajribali tahlilchi va yozuvchi Metaverse Post, AI/ML, XR, VR, zanjirdagi tahlillar va blokcheyn rivojlanishiga alohida e'tibor qaratgan holda, texnologiyaning tez sur'atlari olamiga ilg'or tushunchalarni taqdim etishga ixtisoslashgan. Uning maqolalari turli xil auditoriyani jalb qiladi va xabardor qiladi, ularga texnologik egri chiziqdan oldinda bo'lishga yordam beradi. Iqtisodiyot va menejment bo'yicha magistr darajasiga ega bo'lgan Nik biznes olamining nuanslarini va uning yangi texnologiyalar bilan kesishishini yaxshi tushunadi.