- Ledger ConnectKit подвергает популярные децентрализованные приложения атакам, истощающим кошелек.
- Подтверждено, что это затронуло популярные децентрализованные приложения, включая SushiSwap и Zapper.
- Ledger выпустил небольшое обновление для устранения вредоносного кода.
Пользователи известного решения для самостоятельного хранения криптовалюты Ledger стали последней целью хорошо спланированной атаки, нацеленной на их криптофонды. В частности, злоумышленник взломал Ledger ConnectKit, популярную программную библиотеку, которую децентрализованные приложения (dApps) используют для подключения к аппаратным кошелькам Ledger.
Эта уязвимость была раскрыта в недавнем твите фирмой Blockaid, занимающейся отслеживанием безопасности блокчейна. Blockaid охарактеризовал это как атаку на цепочку поставок, поскольку хакер отравил исходный код библиотеки, затронув зависящие от нее приложения.
В частности, злоумышленник внедрил вредоносный код полезной нагрузки в библиотеку, чтобы истощить криптоактивы, хранящиеся на устройствах Ledger, подключенных к dApps, с помощью скомпрометированного ConnectKit.
Кроме того, Blockaid выделил популярные dApps, которые, как подтверждено, пострадали от атаки. На момент публикации в предварительный список dApps, использующих ConnectKit, которые были признаны уязвимыми, входили многоцепочные DEX SushiSwap, DeFI и трекеры NFT Zapper, MetalSwap и EchoDex.
С другой стороны, Мэтью Лилли, технический директор SushiSwap, заявил, что все dApps, использующие Ledger ConnectKit, подвержены этой уязвимости. Лилли настоятельно посоветовал криптоэнтузиастам воздерживаться от использования децентрализованных приложений до дальнейшего уведомления, поскольку это не единичный инцидент. По его словам, это широкомасштабная атака, затрагивающая несколько децентрализованных приложений в больших масштабах.
Стоит подчеркнуть, что эта недавно обнаруженная угроза безопасности связана не с самими аппаратными кошельками Ledger. Вместо этого он находится в адаптере, который облегчает соединение между веб-сайтами и аппаратным кошельком.
Тем временем Ledger оперативно выпустил небольшое обновление, устраняющее вредоносный код. Blockaid призвал заинтересованные стороны обновить свои децентрализованные приложения и внедрить привязку версий для обеспечения безопасности.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.