Thư viện sổ cái ConnectKit bị xâm phạm với bộ thoát nước, gây ra rủi ro bảo mật cho Web3 Apps
Tóm lại
Thư viện ConnectKit của Ledger đã bị xâm phạm, thay thế công cụ hợp pháp bằng một tập lệnh thoát dữ liệu làm lộ ra nhiều Web3 ứng dụng.
Một vi phạm an ninh đã xảy ra trong Web3 hình cầu, làm tổn hại đến Sổ cái ConnectKit thư viện, rất quan trọng để liên kết Ledger Live với các ứng dụng. Vụ hack này liên quan đến việc thay thế thư viện bằng tập lệnh 'thoát nước', gây ra mối đe dọa nghiêm trọng đối với tiền của người dùng.
Gói bị xâm nhập, ConnectKit —- tự động tải tập lệnh JavaScript từ cdn.jsdelivr.net, bao gồm một trình rút gọn, vào phạm vi toàn cầu.
Sự xâm nhập này khiến giao diện người dùng của các ứng dụng sử dụng thư viện này dễ bị tấn công, đặc biệt là sau khi người dùng ủy quyền. Các báo cáo chỉ ra rằng những kẻ tấn công đã thay đổi cửa sổ phương thức kết nối ví, khiến tất cả chủ sở hữu ví gặp rủi ro, không chỉ những người sử dụng. Sổ cái trực tiếp.
🚨Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit. 🚨
- Sổ cái (@Ledger) 14 Tháng mười hai, 2023
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Thiết bị sổ cái của bạn và…
Cảnh báo do sổ cái đưa ra Bảo mật
Các chuyên gia bảo mật tiền điện tử đáng chú ý, bao gồm cả banteg, đã xác nhận sự xâm phạm của thư viện Ledger và đang khuyên không nên tương tác với bất kỳ ứng dụng phi tập trung nào (dApps) cho đến khi rõ ràng hơn. Lỗ hổng này dường như cũng ảnh hưởng đến bộ tải kết nối sổ cái vì nó chỉ định phần phụ thuộc một cách lỏng lẻo.
Cuộc tấn công có khả năng tác động đến nhiều bên, được biểu thị bằng danh sách các thư viện và ứng dụng bị ảnh hưởng bằng cách sử dụng @ledrhq/bộ kết nối. Đề xuất của Ledger về việc sử dụng trình tải connect-kit để tải connect-kit làm trầm trọng thêm vấn đề, vì ngay cả các phiên bản được ghim của trình tải cũng tải phiên bản mới nhất của connect-kit, dẫn đến sự xâm nhập trên diện rộng.
🚨 thư viện sổ cái được xác nhận đã bị xâm phạm và được thay thế bằng một trình thoát nước. hãy đợi tương tác với bất kỳ dapp nào cho đến khi mọi thứ trở nên rõ ràng hơn.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14 Tháng mười hai, 2023
Những kẻ tấn công đã tìm cách xâm phạm một số lượng đáng kể các thư viện bằng cách chỉ nhắm mục tiêu vào bộ công cụ kết nối. Ledger xác định phiên bản 1.1.4 là bản phát hành an toàn cuối cùng được biết đến, nhưng coi tất cả các bản phát hành lên đến 1.1.7, được đăng vào ngày xảy ra cuộc tấn công, đều bị xâm phạm.
Sự cố bảo mật này nhấn mạnh tầm quan trọng đặc biệt của các biện pháp an ninh mạng mạnh mẽ trong bối cảnh đang phát triển nhanh chóng. Web 3.0, nơi ngay cả các công cụ được thiết lập tốt như thư viện của Ledger cũng không tránh khỏi các cuộc tấn công mạng tinh vi.
Từ chối trách nhiệm
Phù hợp với Hướng dẫn của Dự án Tin cậy, xin lưu ý rằng thông tin được cung cấp trên trang này không nhằm mục đích và không được hiểu là tư vấn pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ hình thức tư vấn nào khác. Điều quan trọng là chỉ đầu tư những gì bạn có thể đủ khả năng để mất và tìm kiếm lời khuyên tài chính độc lập nếu bạn có bất kỳ nghi ngờ nào. Để biết thêm thông tin, chúng tôi khuyên bạn nên tham khảo các điều khoản và điều kiện cũng như các trang trợ giúp và hỗ trợ do nhà phát hành hoặc nhà quảng cáo cung cấp. MetaversePost cam kết báo cáo chính xác, không thiên vị nhưng điều kiện thị trường có thể thay đổi mà không cần thông báo trước.
Giới thiệu về Tác giả
Nik là một nhà phân tích và nhà văn xuất sắc tại Metaverse Post, chuyên cung cấp thông tin chi tiết tiên tiến về thế giới công nghệ phát triển nhanh, đặc biệt chú trọng đến AI/ML, XR, VR, phân tích trên chuỗi và phát triển chuỗi khối. Các bài báo của anh ấy thu hút và cung cấp thông tin cho nhiều đối tượng độc giả, giúp họ luôn dẫn đầu xu hướng công nghệ. Sở hữu bằng Thạc sĩ Kinh tế và Quản lý, Nik nắm vững các sắc thái của thế giới kinh doanh và sự giao thoa của nó với các công nghệ mới nổi.
Xem thêm bài viếtNik là một nhà phân tích và nhà văn xuất sắc tại Metaverse Post, chuyên cung cấp thông tin chi tiết tiên tiến về thế giới công nghệ phát triển nhanh, đặc biệt chú trọng đến AI/ML, XR, VR, phân tích trên chuỗi và phát triển chuỗi khối. Các bài báo của anh ấy thu hút và cung cấp thông tin cho nhiều đối tượng độc giả, giúp họ luôn dẫn đầu xu hướng công nghệ. Sở hữu bằng Thạc sĩ Kinh tế và Quản lý, Nik nắm vững các sắc thái của thế giới kinh doanh và sự giao thoa của nó với các công nghệ mới nổi.