Несколько dApps, использующих библиотеку коннекторов Ledger, скомпрометированы

Фронтэнд нескольких децентрализованных приложений (dApps), использующих коннектор Ledger, включая Zapper, SushiSwap, Balancer и Revoke.cash, была скомпрометирована 14 декабря. Почти через три часа после обнаружения нарушения безопасности Ledger сообщил, что вредоносная версия файла была заменена на подлинную версию в 13:35 по всемирному координированному времени.

Ledger предупреждает пользователей:

«Всегда очищайте транзакции. Если есть разница между экраном, отображаемым на устройстве Ledger, и экраном компьютера/телефона, немедленно прекратите транзакцию«.

Технический директор SushiSwap Мэтью Лилли был одним из первых, кто сообщил о проблеме, отметив, что широко используемый коннектор Web3 был скомпрометирован, что позволило внедрить вредоносный код в многочисленные децентрализованные приложения. Ончейн-аналитик сообщил, что библиотека Ledger подтвердила компрометацию.

Лилли обвинил Ledger в постоянной уязвимости и компрометации нескольких dApps. Руководитель заявил, что сеть доставки контента Ledger была взломана, и из взломанной сети загружался JavaScript.

Ledger Connector — это библиотека, используемая многими dApps и поддерживаемая Ledger. Был добавлен вредоносный код, поэтому слив активов из учетной записи пользователя может не произойти сам по себе. Однако запросы из браузерного кошелька, такого как MetaMask, будут отображаться и могут предоставить злоумышленникам доступ к активам.

Лилли предупредил пользователей избегать любых dApp, использующих коннектор Ledger, добавив, что «connect-kit» также уязвим, и что это не отдельная изолированная атака, а крупномасштабная атака на несколько dApps.

ANY dApp which makes use of LedgerHQ/connect-kit is vulnerable. Don't use ANY dApps until further notice. This isn't a single isolated attack, it's a large-scale attack on multiple dApps. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023

Вице-президент Polygon Labs Хадсон Джеймсон сказал, даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие библиотеку, должны будут обновите его, прежде чем станет безопасно использовать dApps с использованием библиотек Ledger Web3.

Ledger признал уязвимость в своем коде и заявил, что удалил вредоносную версию Ledger Connect Kit, добавив, что сейчас выдвигается подлинная версия для замены вредоносного файла.

Читайте также: