ru
Назад к списку

Уязвимость в Ledger Connect Kit привела к краже криптовалют на $484000

source-logo  happycoin.club 14 Декабрь 2023 12:43, UTC

Сегодня возникла критическая уязвимость в безопасности, которая затронула несколько децентрализованных приложений. Проблема была связана с библиотекой программного обеспечения от производителя аппаратного кошелька Ledger, которую использовали децентрализованные приложения.

Уязвимость позволяла внедрять вредоносный код на интерфейсах, что представляло значительный риск для пользователей и их активов. Такие проекты, как Kyber и RevokeCash, подтвердили, что уже отключили свои интерфейсы.

По имеющимся данным, программное обеспечение библиотеки было заменено вредоносным кодом, созданным хакерами и предназначенным для кражи активов.

В охранной фирме Blockaid описали это как «атаку на сеть» на Ledger Connect Kit и подсчитали, что за последние пару часов были потеряны криптоактивы на $150 000. Позднее обозначалась цифра в $484 000.

По словам технического директора Sushi Мэтью Лилли, проблема могла возникнуть из-за предполагаемого взлома конкретной сети доставки контента (CDN), в которой размещалась указанная библиотека программного обеспечения.

LedgerHQ/connect-kit загружает JS [JavaScript] из CDN, их учётная запись CDN была скомпрометирована, что приводит к внедрению вредоносного JS в несколько децентрализованных приложений, — написал Лилли, добавив, что любое dApp, использующее LedgerHQ/connect-kit, уязвимо.

Для исправления ситуации было оперативно выпущено обновление:

Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. Сейчас готовится подлинная версия, которая заменит вредоносный файл, — заявили в Ledger.

happycoin.club