Isang maliwanag na pag-atake ng supply chain laban sa Ledger's Connect Kit, isang software tool na nagbibigay-daan sa mga user na ikonekta ang kanilang mga wallet sa front end ng mga desentralisadong application (dApps), ay may pinatuyo ang mga wallet ng gumagamit.
Isang nakompromisong account na pagmamay-ari ng isang dating empleyado ng Ledger ang nagtulak ng bagong bersyon ng Connect Kit software sa repositoryo ng software ng NPM bago ito palitan pagkalipas ng ilang oras. Ang kompromiso na ito ay nagdulot ng panganib sa anumang serbisyo na umaasa sa software, kahit na ang user ay hindi gumamit ng Ledger-brand na mga wallet ng hardware.
Ang mga gumagamit ng X (dating Twitter) ay nag-ulat na ang malisyosong bersyon ay magpapakita ng karagdagang pop-up na nagtuturo sa mga user patungo sa draining software, mismong batay sa binagong software ng WalletConnect.
Ang default na pagpapatupad ng Ledger HQ ng 'connect-kit-loader' ay lalo na mahina, pinipiling palaging i-load ang pinakabagong bersyon direkta mula sa isang content delivery network (CDN) sa halip na i-lock sa isang partikular na bersyon.
Nagsimula na ang mga kumpanyang tumugon sa pag-atakeng ito, kung saan ang CEO ng Tether na si Paolo Ardoino ay nagsabi sa pamamagitan ng X na nagpasya si Tether na i-freeze ang isang address na nauugnay sa pagsasamantalang ito.
Magbasa nang higit pa: Nahanap ng mananaliksik ang pag-aani ng data sa loob ng Ledger Live app
ZachXBT, isang blockchain investigator, may tulis patungo sa 0x658729879fca881d9526480b82ae00efc54b5c2d bilang address para sa mapagsamantala. Ang address na ito ay una ring inilipat sa 0x412f10AAd96fD78da6736387e2C84931Ac20313f o 'Angel Drainer.' Isa itong address na kadalasang ginagamit sa mga phishing scam.
Nakatanggap ang address ng iba't ibang mga asset, na sinasabi ng DeBank na ang halaga ay umabot sa humigit-kumulang $480,000 bago mailipat ang mga asset labas sa wallet.
May tip? Padalhan kami ng email o ProtonMail. Para sa higit pang kaalamang balita, sundan kami sa X, Instagram, Asul na langit, at Google News, o mag-subscribe sa aming YouTube channel.
Pinagmulan: https://protos.com/decentralized-apps-suffer-after-ledger-connect-kit-attack/