Ibinunyag ng Punong Teknikal na Opisyal ng SushiSwap na si Mathew Lilley ang kompromiso ng isang malawakang ginagamit na web3 connector sa loob ng network ng paghahatid ng Ledger.
Ang paglabag ay nagpagana ng malisyosong code injection sa maraming desentralisadong aplikasyon (dapps). Lookonchain sinabi ng hacker na nagnakaw ng $484,000 sa mga asset, kabilang ang 4.334 Ether, at ang Angel Drainer phishing scam ay patuloy na tumatanggap ng mga asset, na kasalukuyang may hawak na $363,000 na halaga.
Sa isang update, mayroon si Tether frozen address ng Ledger exploiter, na epektibong nagtatapos sa scam.
Pag-alis ng malisyosong provider
Ipinaglaban ni Lilley na ang network ng paghahatid ng nilalaman ng Ledger ay nakompromiso, na humahantong sa pag-load ng JavaScript mula sa nakompromisong network.
Ang nakompromisong Ledger connector library, na malawakang ginagamit ng iba't ibang dapps at pinangangasiwaan ng Ledger, ay nakakita ng pagdaragdag ng wallet drainer. Bagama't maaaring hindi awtomatikong ma-drain ang mga asset mula sa account ng isang user, ang mga prompt mula sa mga wallet ng browser tulad ng MetaMask ay posibleng magbigay ng access sa mga malisyosong aktor sa mga asset, ayon sa mga claim ni Lilley.
π¨Natukoy at inalis namin ang isang nakakahamak na bersyon ng Ledger Connect Kit. π¨
Ang isang tunay na bersyon ay itinutulak upang palitan ang nakakahamak na file ngayon. Huwag makipag-ugnayan sa anumang dApps sa sandaling ito. Ipapaalam namin sa iyo habang nagbabago ang sitwasyon.
Ang iyong Ledger device atβ¦
- Ledger (@Ledger) Disyembre 14, 2023
Ang kilalang cryptocurrency hardware wallet provider ay nagtungo sa X upang ipahayag ang pagkakakilanlan at pag-aalis ng isang malisyosong bersyon ng Ledger Connect Kit. Hinihimok ng kumpanya ang mga user na mag-ingat at pansamantalang umiwas sa pakikipag-ugnayan sa mga dapps.
Tinitiyak sa komunidad ang kanilang proactive na paninindigan, sinimulan na ng Ledger ang pag-deploy ng isang tunay na kapalit para sa nakompromisong file. Binibigyang-diin din ng Ledger na nananatiling buo ang seguridad ng mga device ng Ledger ng user at Ledger Live, nang walang nakitang kompromiso.
Isang patuloy na target
Hindi ito ang unang pagkakataon na naging target ng mga malisyosong gawa ang Ledger. Noong Nob. 5, nagtaas ng alerto ang crypto investigator na si ZachXBT sa X platform tungkol sa isang mapanlinlang na application na pinangalanang Ledger Live Web3.
Ginaya ng mapanlinlang na application na ito ang lehitimong Ledger Live app, isang opisyal na user interface para sa pag-iimbak ng mga crypto asset offline gamit ang mga wallet ng hardware, na epektibong nagdudulot ng pagkawala ng $800,000 sa mga user.
Pinagmulan: https://crypto.news/ledger-library-flaw-affects-sushiswap-revoke-cash-dapps/