Ledger ConnectKit 函式庫受到 Drainer 攻擊,為使用者帶來安全風險 Web3 應用程式
簡單來說
Ledger 的 ConnectKit 庫遭到破壞,用一個漏水腳本替換了合法工具,該腳本暴露了許多 Web3 應用。
發生安全漏洞 Web3 領域,損害 帳本連接套件 庫,對於將 Ledger Live 與應用程式連結起來至關重要。 這次駭客攻擊涉及用「drainer」腳本替換庫,對用戶資金構成嚴重威脅。
受感染的套件 ConnectKit — 會自動從 cdn.jsdelivr.net 載入 JavaScript 腳本(其中包含一個 Drainer)到全域範圍內。
這種滲透使得使用該庫的應用程式的前端容易受到攻擊,特別是在用戶授權之後。 報告表明,攻擊者改變了錢包連接模式窗口,使所有錢包所有者面臨風險,而不僅僅是使用錢包的人 Ledger Live.
🚨我們已經識別並刪除了 Ledger Connect Kit 的惡意版本。 🚨
- Ledger(@Ledger) 2023 年 12 月 14 日
現在正在推送正版版本來取代惡意檔案。 暫時不要與任何 dApp 互動。 隨著情況的發展,我們將隨時向您通報情況。
您的 Ledger 設備和…
Ledger 發出的警告 安全性
包括 Banteg 在內的著名加密貨幣安全專家已經確認了 Ledger 庫的妥協,並建議不要與任何去中心化應用程式互動(dApps)直到出現更清晰的情況。 這個漏洞似乎也會影響 ledger connect-kit-loader,因為它鬆散地指定了依賴項。
正如使用該攻擊的受影響庫和應用程式清單所示,該攻擊可能會影響廣泛的各方。 @ledgerhq/connect-kit。 Ledger 建議使用 connect-kit 載入器來載入 connect-kit,這加劇了這個問題,因為即使是固定版本的載入器也會取得最新版本的 connect-kit,從而導致廣泛的滲透。
🚨 帳本庫已確認遭到破壞並被 Drainer 取代。 等待與任何 dapp 交互,直到事情變得更加清晰。https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
-班特格(@bantg) 2023 年 12 月 14 日
攻擊者僅針對 connect-kit 就成功地破壞了大量的函式庫。 Ledger 將版本 1.1.4 確定為最後一個已知的安全版本,但認為攻擊當天發布的 1.1.7 之前的所有版本都已受到損害。
這次安全事件凸顯了強而有力的網路安全措施在快速發展的環境中的至關重要性。 Web 3.0 域,即使是像 Ledger 庫這樣成熟的工具也不能免受複雜的網路攻擊。
免責聲明
在與線 信託專案指南,請注意,本頁提供的資訊無意且不應被解釋為法律、稅務、投資、財務或任何其他形式的建議。 重要的是,僅投資您可以承受損失的金額,並在有任何疑問時尋求獨立的財務建議。 如需了解更多信息,我們建議您參閱條款和條件以及發行人或廣告商提供的幫助和支援頁面。 MetaversePost 致力於提供準確、公正的報告,但市場狀況如有變更,恕不另行通知。
關於作者
Nik 是一位出色的分析師和作家 Metaverse Post,專注於為快節奏的技術世界提供前沿見解,特別注重人工智能/機器學習、XR、虛擬現實、鏈上分析和區塊鏈開發。 他的文章吸引了不同的受眾並為他們提供信息,幫助他們保持技術領先地位。 Nik 擁有經濟和管理碩士學位,對商業世界的細微差別及其與新興技術的交叉點有著深入的了解。
更多文章Nik 是一位出色的分析師和作家 Metaverse Post,專注於為快節奏的技術世界提供前沿見解,特別注重人工智能/機器學習、XR、虛擬現實、鏈上分析和區塊鏈開發。 他的文章吸引了不同的受眾並為他們提供信息,幫助他們保持技術領先地位。 Nik 擁有經濟和管理碩士學位,對商業世界的細微差別及其與新興技術的交叉點有著深入的了解。