По мнению команды Linea, созданной Consensys с нулевым разглашением, атака на библиотеку коннекторов Ledger может повлиять на всю экосистему виртуальных машин Ethereum (EVM).
Хакер нацелился на библиотеку коннекторов Ledger, которая была разработана для обеспечения связи между аппаратными кошельками Ledger и различными децентрализованными приложениями (DApps). Провайдер кошельков MetaMask также пострадал от инцидента с безопасностью.
Всем пользователям web3,
Похоже, что эта уязвимость затрагивает несколько децентрализованных приложений во всей экосистеме EVM. Очень рискованно взаимодействовать с любыми децентрализованными приложениями, пока проблема не будет решена должным образом.Будьте там в безопасности! https://t.co/kFykLW4lWm
– Линеа (@LineaBuild) 14 декабря 2023 г.
Согласно сообщению в X (Twitter), MetaMask развернула обновление для устранения проблемы в своем портфолио MetaMask. «Пожалуйста, убедитесь, что у вас включена функция Blockaid в расширении MetaMask, прежде чем выполнять какие-либо транзакции в портфеле MetaMask», — предупредила компания на X.
Другие затронутые протоколы включают Zapper, SushiSwap, Phantom, Balancer и Revoke.cash. Фирма CertiK, занимающаяся безопасностью блокчейнов, сообщила , что любое DApp, импортирующее CDN реестра, автоматически выполнит код слива, предлагая жертвам подключиться через любой кошелек, который они поддерживают.
Ledger — популярный аппаратный кошелек, используемый многими членами криптосообщества. Его библиотека коннекторов является важнейшим компонентом, который взаимодействует между оборудованием Ledger и различными DApps. В случае компрометации эта библиотека может повлиять на многих пользователей и транзакции EVM.
Атака была инициирована после того, как бывший сотрудник Ledger подвергся фишингу и был скомпрометирован его аккаунт NPMJS. «Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на хакерский кошелек», — написала компания на X.
Исправление было выпущено почти через 40 минут после того, как Леджер обнаружил проблему. Компания предупреждает пользователей подождать 24 часа, прежде чем снова использовать Ledger Connect Kit.
ОКОНЧАТЕЛЬНЫЕ СРОКИ И ОБНОВЛЕНИЕ ДЛЯ КЛИЕНТОВ:
16:49 по центральноевропейскому времени:
Подлинная версия Ledger Connect Kit 1.1.8 теперь распространяется автоматически. Мы рекомендуем подождать 24 часа, прежде чем снова использовать Ledger Connect Kit.
Расследование продолжается, вот график того, что нам известно о…
– Леджер (@Ledger) 14 декабря 2023 г.
Аналитическая платформа блокчейна Lookonchain заявила, что хакер украл активы на сумму почти 484 000 долларов, но последствия нарушения безопасности могут быть более значительными, отметил Леджер.
Журнал: Спустя 2 года после смерти Джона Макафи вдова Дженис разорена и нуждается в ответах
