Фронтэнд нескольких децентрализованных приложений (dApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Balancer и Revoke.cash, была скомпрометирована 14 декабря. Почти через три часа после обнаружения нарушения безопасности Ledger сообщил, что вредоносная версия файла была заменена на подлинную версию в 13:35 по всемирному координированному времени.
Ledger предупреждает пользователей:
«Всегда очищайте транзакции. Если есть разница между экраном, отображаемым на устройстве Ledger, и экраном компьютера/телефона, немедленно прекратите транзакцию«.
Технический директор SushiSwap Мэтью Лилли был одним из первых, кто сообщил о проблеме, отметив, что широко используемый коннектор Web3 был скомпрометирован, что позволило внедрить вредоносный код в многочисленные децентрализованные приложения. Ончейн-аналитик сообщил, что библиотека Ledger подтвердила компрометацию.
Лилли обвинил Ledger в постоянной уязвимости и компрометации нескольких dApps. Руководитель заявил, что сеть доставки контента Ledger была взломана, и из взломанной сети загружался JavaScript.
Ledger Connector — это библиотека, используемая многими dApps и поддерживаемая Ledger. Был добавлен вредоносный код, поэтому слив активов из учетной записи пользователя может не произойти сам по себе. Однако запросы из браузерного кошелька, такого как MetaMask, будут отображаться и могут предоставить злоумышленникам доступ к активам.
Лилли предупредил пользователей избегать любых dApp, использующих коннектор Ledger, добавив, что «connect-kit» также уязвим, и что это не отдельная изолированная атака, а крупномасштабная атака на несколько dApps.
Вице-президент Polygon Labs Хадсон Джеймсон сказал, даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие библиотеку, должны будут обновите его, прежде чем станет безопасно использовать dApps с использованием библиотек Ledger Web3.
Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию Ledger Connect Kit, добавив, что сейчас выдвигается подлинная версия для замены вредоносного файла.
Читайте также: