Библиотека LedgerConnect была скомпрометирована хакерами, которые заменили ее на контракт для кражи активов. Специалисты рекомендуют не подключаться к любым децентрализованным приложениям из-за этого инцидента. Они также уточнили, что SushiSwap, Revoke Cash и Zapper были также затронуты этой компрометацией.
Технический директор SushiSwap в своем X (ранее Twitter) сообщил о компрометации библиотеки LedgerConnect, в результате чего пострадали децентрализованные приложения (dApps).
«Не взаимодействуйте с любыми децентрализованными приложениями до получения дальнейших сообщений. Похоже, что широко используемый коннектор Web3 был взломан, что позволяет внедрить вредоносный код, который затрагивает множество dApps», — говорится в сообщении.
Команда SushiSwap в заметке в X подтвердила информацию о взломе. Они сообщили, что работают над устранением проблемы и призвали не подключаться к dApps.
Также об эксплойте рассказали в Revoke Cash. Компания перевела сайт в офлайн-режим, поскольку проводит расследование.
Аналитики Hacken также призвали не взаимодействовать с dApps.
В комментарии для Incrypted эксперты компании Hacken объяснили:
«Скомпроментирована библиотека Ledger Connect Kit. Соответственно каждый вебсайт (dApp), который ее использует, также является скомпроментированным. На него загружается вредоносный код, который начинает работать по принципу фишинга. Если пользователь не взаимодействует с этими сайтами, то ему вообще ничего не угрожает. Но мы точно сейчас не можем сказать, кто кроме SushiSwap, Zapper и RevokeCash ими пользуется. Поэтому для собственной безопасности нужно подождать, пока эту проблему устранят. Вряд ли это займет очень много времени».
Представители команды аналитической фирмы HAPI отметили в разговоре с Incrypted, что вследствие компрометации происходит подмена модального окна подключения кошелька при авторизации:
«Это популярный Web3-коннектор, он ставит под удар очень много протоколов и кошельков. Лучше ничего не делать пока что никому. Не взаимодействовать ни с одним dApp. В опасности пользователи любых dApp и любых кошельков, взаимодействующих с ними. Не только Ledger Live».
Апдейт: в Ledger заявили, что обнаружили и удалили вредоносную версию Ledger Connect Kit:
«Сейчас на замену вредоносному файлу выпускается настоящая версия. Сейчас не взаимодействуйте ни с какими приложениями. Мы будем информировать вас о развитии ситуации. Ваше устройство Ledger и Ledger Live не было скомпрометировано».
Апдейт 2: генеральный директор компании Tether Паоло Ардоино в X сообщил, что адрес хакера был заморожен.
Incrypted продолжит следить за развитием событий. Мы обновим материал, когда появятся новые детали.