Большинство децентрализованных приложений (dApps) временно отключили внешний пользовательский интерфейс для Ledger Connect из-за сегодняшнего эксплойта.
Разработчики платформы невзаимозаменяемых токенов (NFT) OpenSea заявили 14 декабря, что пользователям не следует «подключаться к каким-либо децентрализованным приложениям с помощью Ledger Connect до дальнейшего уведомления».
Между тем, протокол децентрализованного финансирования (DeFi) Lido Finance заявил, что его «внешние интерфейсы были отключены в качестве меры предосторожности, пока проблема с подключением к Ledger расследуется».
Ранее в тот же день внешние интерфейсы Zapper, SushiSwap, Phantom, Balancer и Revoke.cash были взломаны в результате эксплойта Ledger Connect. С тех пор Леджер заявил, что эксплойт был исправлен, и проблема связана с «вредоносной версией Ledger Connect Kit».
«Сейчас выпускается подлинная версия для замены вредоносного файла. На данный момент не взаимодействуйте ни с какими децентрализованными приложениями. Мы будем держать вас в курсе по мере развития ситуации».
По предварительным данным, в результате атаки были утеряны цифровые активы на сумму не менее 484 000 долларов. Tether, эмитент стейблкоина USDT, с тех пор заморозил адрес эксплуататора. По словам разработчиков Ledger, «настоящая версия» Ledger Connect Kit «теперь распространяется автоматически». Тем не менее, пользователям рекомендуется подождать 24 часа, прежде чем снова использовать комплект.
Эксплойт связывают с фишинговой атакой на бывшего сотрудника Ledger, которая позволила хакерам получить доступ к конфиденциальной информации. «Мы подаем жалобу и работаем с правоохранительными органами над расследованием, чтобы найти злоумышленника», — написали разработчики. Между сливом средств и установкой исправления прошло примерно два часа.
ОКОНЧАТЕЛЬНЫЕ СРОКИ И ОБНОВЛЕНИЕ ДЛЯ КЛИЕНТОВ:
16:49 по центральноевропейскому времени:
Подлинная версия Ledger Connect Kit 1.1.8 теперь распространяется автоматически. Мы рекомендуем подождать 24 часа, прежде чем снова использовать Ledger Connect Kit.
Расследование продолжается, вот график того, что нам известно о…
– Леджер (@Ledger) 14 декабря 2023 г.
Связанный: Приложение Fake Ledger Live проникло в магазин приложений Microsoft, украдено 588 тысяч долларов
