ru
Назад к списку

Проблема безопасности в библиотеке Ledger ConnectKit

source-logo  acryptoinvest.news 14 Декабрь 2023 12:40, UTC

Acryptoinvest.news: Сегодня возникла критическая проблема безопасности Web3, которая, как сообщается, затронула несколько децентрализованных приложений. Проблема была связана с библиотекой программного обеспечения от поставщика аппаратного кошелька Ledger, на которую опирались децентрализованные приложения.

Инцидент позволил внедрить вредоносный код в многочисленные децентрализованные приложения на их интерфейсах, что создало значительный риск для пользователей и их активов. Следовательно, интерфейсы нескольких децентрализованных приложений могут быть уязвимы при их использовании. Такие проекты, как Kyber и RevokeCash, подтвердили на X, что они отключили свои интерфейсы.

Охранная фирма Blockaid описала это как «атаку на цепочку поставок» на Ledger ConnectKit, в ходе которой злоумышленник заменил библиотечное программное обеспечение вредоносным кодом для утечки активов.

По словам технического директора Sushi, Мэтью Лилли, проблема могла возникнуть из-за предполагаемого взлома конкретной сети доставки контента (CDN), в которой размещалась указанная библиотека программного обеспечения. «LedgerHQ/connect-kit загружает JS [JavaScript] из CDN, их учетная запись CDN была скомпрометирована, что приводит к внедрению вредоносного JS в несколько децентрализованных приложений», — сказал Лилли. Он добавил, что любое dApp, использующее LedgerHQ/connect-kit, уязвимо.

По оценкам Blockaid, за первые пару часов после инцидента было потеряно 150 000 долларов. Позже стоимость украденных средств выросла до более чем полумиллиона долларов.

Ledger отвечает

Исправление программного обеспечения было завершено в обновлении, и, возможно, его придется принять децентрализованным приложениям, прежде чем условия станут безопасными. «Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. Сейчас выдвигается подлинная версия, которая заменит вредоносный файл», — говорится в заявлении.

Тем временем Лилли и другие предупредили пользователей, чтобы они не взаимодействовали с какими-либо децентрализованными приложениями до дальнейшего уведомления.

acryptoinvest.news