Сегодня стало известно про Ledger Exploited. Эксплойт затрагивает не только пользователей Ledger, но и представляет более широкий риск для любого, кто подключается к dapps с использованием скомпрометированного коннектора.
Читайте ЗДЕСЬ о том, как заработать стабильно и без нервов на криптовалюте от 10% в месяц.
Ledger Exploited
Эксплойт в широко используемой библиотеке Ledger бросил тень на безопасность нескольких децентрализованных приложений (dapps). Среди них SushiSwap и Zapper. В качестве меры предосторожности пользователям настоятельно рекомендуется воздерживаться от взаимодействия с любыми dapps. Во всяком случае до тех пор, пока ситуация не прояснится.
Серьезность ситуации была подчеркнута пользователем X «Banteg». Он подтвердил компрометацию библиотеки Ledger, замененной вредоносным «drainer». Кроме того, разработчик блокчейна и вице-президент Polygon Хадсон Джеймсон пролил свет на серьезность ситуации. Он показал, что библиотека Ledger, неотъемлемая часть различных dapps. И она стала жертвой компрометации, что проложило путь для внедрения механизма удаления средств с кошельков.
Джеймсон рекомендовал пользователям избегать использования интерфейсов для Dapps на веб-сайтах. Он подчеркнул присущие им риски. Особенно для тех, кто не знаком с серверными библиотеками. Вводящие в заблуждение подсказки кошелька браузера могут привести к несанкционированной передаче активов злоумышленникам. Lookonchain сообщила об утечке более $ 484 000 на данный момент.
Широкое воздействие и усилия по смягчению последствий
Сообщается, что риск распространяется не только на пользователей Ledger. Он затрагивает любого, кто подключается к dapp с использованием скомпрометированного коннектора. Несколько разработчиков, включая Revoke, отключили свои продукты. Поскольку продолжаются расследования уязвимости.
Эксплойт, по словам преподавателя web3 Zeneca, по-видимому, ограничен сегодняшним внедрением и обратной силы не имеет. Следовательно, предыдущие подключения и выплаты, сделанные с помощью кошельков, не подвергаются опасности.
MetaMask также выпустила предупреждение и проинформировала пользователей о ситуации. Кошелек указал, что те, у кого есть портфолио MetaMask версии v.2.121.0, должны быть безопасны для транзакций.
Технический директор Sushi выделил общеотраслевой эксплойт, связанный с комплектом подключения Ledger, влияющий на протоколы децентрализованных финансов (DeFi). Сообщалось о внешних эксплойтах на различных веб-сайтах DeFi, включая Zapper и RevokeCash.
В официальном заявлении Ledger признала и удалила вредоносную версию Ledger Connect Kit. Компания заверила пользователей, что устройства Ledger и приложение Ledger Live остаются не скомпрометированными.
