poniedziałek, 23 grudnia 2024 r
spot_imgspot_imgspot_imgspot_img

W centrum uwagi

SushiSwap i inne protokoły DeFi ogłosiły naruszenie bezpieczeństwa w bibliotece Ledger

Biblioteka LedgerConnect została zhakowana przez hakerów, którzy zastąpili ją umową o kradzież zasobów. Eksperci zalecają, aby z powodu tego incydentu nie łączyć się z żadnymi zdecentralizowanymi aplikacjami. Wyjaśnili również, że kompromis ten miał również wpływ na SushiSwap, Revoke Cash i Zapper.

Dyrektor techniczny SushiSwap opublikował na swoim X (dawniej Twitterze), że biblioteka LedgerConnect została naruszona, co wpływa na zdecentralizowane aplikacje (dApps).

„Nie wchodź w interakcję z żadnymi zdecentralizowanymi aplikacjami aż do odwołania. Wygląda na to, że szeroko stosowane złącze Web3 zostało naruszone, co umożliwiło wstrzyknięcie złośliwego kodu wpływającego na wiele aplikacji dApp” – czytamy w raporcie.

potwierdził włamanie w poście na X. Poinformowali, że pracują nad rozwiązaniem problemu i nalegali, aby nie łączyć się z dApps.

Revoke Cash również zgłosiło W związku z dochodzeniem firma wyłączyła witrynę.

Analitycy Hackena również nalegali, aby nie wchodzić w interakcje z dApps.

W komentarzu dla Incrypted eksperci Hacken wyjaśnili:

„Biblioteka Ledger Connect Kit została naruszona. W związku z tym każda witryna internetowa (dApp), która z niej korzysta, również jest zagrożona. Ładowany jest na niego złośliwy kod, który zaczyna działać na zasadzie phishingu. Jeśli użytkownik nie wchodzi w interakcję z tymi stronami, nie grozi mu żadne niebezpieczeństwo. Ale nie możemy z całą pewnością powiedzieć, kto z nich korzysta poza SushiSwap, Zapper i RevokeCash. Dlatego dla własnego bezpieczeństwa musisz poczekać, aż problem zostanie naprawiony. Jest mało prawdopodobne, że zajmie to dużo czasu.

Przedstawiciele zespołu firmy analitycznej HAPI zauważyli w rozmowie z Incrypted, że w wyniku kompromisu następuje wymiana okna modalnego podłączenia portfela podczas autoryzacji:

„To popularne złącze Web3, które naraża wiele protokołów i portfeli na ryzyko. Lepiej na razie nikomu nic nie robić. Nie wchodź w interakcję z żadnym dApp. Użytkownicy dowolnej dApp i każdego portfela, który z nimi wchodzi w interakcję, są zagrożeni. Nie tylko Ledger na żywo” .

Aktualizacja: Ledger ogłosił , że odkrył i usunął złośliwą wersję zestawu Ledger Connect Kit:

„Teraz wydawana jest prawdziwa wersja, która ma zastąpić złośliwy plik. Na razie nie wchodź w interakcję z żadnymi aplikacjami. Będziemy Państwa informować w miarę rozwoju sytuacji. Twoje urządzenie Ledger i Ledger Live nie zostało naruszone.”

Aktualizacja 2: Dyrektor generalny Tether Paolo Ardoino poinformował , że adres hakera został zamrożony.

Firma Incrypted będzie nadal monitorować rozwój sytuacji. Będziemy aktualizować materiał, gdy pojawią się nowe szczegóły.

spot_img
Źródło szyfrowane
spot_img

W centrum uwagi

spot_imgspot_img

Nie przegap