Широко используемый код сервиса авторизации через криптокошелек Ledger был скомпрометирован. Представители компании выпустили заявление о том, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов, таких как Curve, SushiSwap, Zapper или Revoke.cash, пишет РБК Крипто.
При авторизации в децентрализованных финансовых приложениях (dApp) через сервис LedgerConnect от производителя аппаратных криптокошельков Ledger в них исполнялся вредоносный код. Уязвимость, как сообщается, не затрагивает ПО самих устройств от Ledger.
Администраторы популярных платформ подтвердили наличие уязвимости, отключили доступ к онлайн-интерфейсу на своих сайтах и призвали пользователей не использовать никакие Web3-приложения до того, как ситуация прояснится.
Администраторы сервиса Curve призывают не использовать для авторизации сервис LedgerConnect
Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним. На момент публикации сумма ущерба от атаки неизвестна.