Der Hardware-Wallet-Hersteller gibt an, dass die Schwachstelle behoben wurde, Benutzer mehrerer dApps und Protokolle werden jedoch immer noch davor gewarnt, diese zu verwenden, bis die Situation klarer ist.
Gepostet am 14. Dezember 2023 um 10:59 Uhr EST.
Kryptonutzer sahen am Donnerstagmorgen, wie Kryptowährungen im Wert von rund 500,000 US-Dollar aus ihren Wallets abgezogen wurden, weil das Connector Kit des Hardware-Wallet-Anbieters Ledger kompromittiert wurde, wodurch das Front-End mehrerer dezentraler Anwendungen (dApps) ausgenutzt werden konnte.
Die Sicherheitslücke sorgte in der Krypto-Community für großes Aufsehen, da der Exploit potenziell weit verbreitet sein könnte, da Benutzer kein Ledger-Wallet verwenden mussten, um betroffen zu sein, und weil er dApps in mehreren Ketten betraf.
Laut dem X-Thread des Krypto-Wallet-Anbieters hat Ledger inzwischen die bösartige Version des Ledger Connect Kit entfernt und einige Stunden nach Entdeckung der Schwachstelle durch „die Originalversion“ ersetzt gepostet um 8:31 Uhr ET.
Laut Ledger endgültiger Zeitplan und Aktualisierung An Kunden konnte der Angreifer eine bösartige Version des Ledger Connect Kit veröffentlichen, weil „heute Morgen MEZ ein ehemaliger Mitarbeiter Opfer eines Phishing-Angriffs wurde, der sich Zugriff auf sein NPMJS-Konto verschaffte.“ NPMJS ist eine Software-Registrierung für die Programmiersprache JavaScript, die den Prozess für Entwickler zum Teilen und Wiederverwenden von Code vereinfacht.
Das Unternehmen erinnerte die Benutzer daran, „Ihre Transaktionen immer klar zu signieren“ und dass „wenn es einen Unterschied zwischen dem auf Ihrem Ledger-Gerät und dem Bildschirm Ihres Computers/Telefons angezeigten Bildschirm gibt, die Transaktion stoppen sollten.“ sofort."
Matthew Lilley, Chief Technology Officer der dezentralen Börse SushiSwap, schrieb am Donnerstagmorgen auf
Benutzer werden zur Vorsicht aufgefordert
Ledger sagte: „Die neue Originalversion sollte bald verbreitet werden“, und dennoch warnen die Leute Krypto-Benutzer immer noch davor, dApps und Krypto-Protokolle zu verwenden. Ein Synthetix-Community-Administrator gefragt jeder in Discord soll davon Abstand nehmen, mit seiner Staking-dApp zu interagieren, während Camelot „dringend“ empfohlen „Jeder soll mit KEINEM DAPP interagieren, bis die Situation vollständig geklärt ist.“
„Selbst nachdem Ledger den fehlerhaften Code in seiner Bibliothek korrigiert hat, müssen Projekte, die diese Bibliothek verwenden und bereitstellen, Dinge aktualisieren, bevor Dapps sicher verwendet werden können, die die Web3-Bibliotheken von Ledger verwenden.“ schrieb Hudson Jameson, Vizepräsident von Polygon Labs, über X.
Die Codebasis des Connector Kit von Ledger enthielt eine Zeile mit der Aufschrift „minimalDrainValue“, der Quelle der jüngsten Sicherheitslücke. Dieser Kompromiss wirkte sich auf Frontend-Benutzer aus, denn wenn Menschen mit der Schnittstelle dezentraler Anwendungen wie SushiSwap, Zapper und RevokeCash interagierten, Es würde ein bösartiges Fenster auftauchen und wenn Benutzer ihre Wallets verbanden, würden ihre Gelder aufgebraucht.
🚨 Die Hauptbuchbibliothek wurde als kompromittiert bestätigt und durch einen Drainer ersetzt. Warten Sie mit der Interaktion mit Dapps, bis die Dinge klarer werden.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) 14. Dezember 2023
Dies ist nicht das erste Mal, dass Ledger auf Sicherheitsbedenken stößt. Zum Beispiel im Jahr 2020, Ledger erlitt ein Cyberangriff, der dazu führte, dass 1 Million E-Mail-Adressen sowie detaillierte persönliche Informationen wie Postanschrift, Name und Telefonnummer auf RaidForums preisgegeben wurden. Das US-amerikanische Amt für öffentliche Angelegenheiten namens RaidForums „ein beliebter Marktplatz für Cyberkriminelle zum Kauf und Verkauf gehackter Daten.“ Ebenfalls im Jahr 2020 erschien eine E-Mail, die sich als Ledger-Support ausgab benutzt eine Phishing-Technik für Kunden, um deren Daten zu stehlen.
Auch Ledger wurde im Mai 2023 wegen seiner Sicherheitsrichtlinien kritisiert, als es seine bekannt gab Funktion zur Wiederherstellung privater Schlüssel, was es Kunden ermöglichte, die Schlüssel zu ihrem Ledger-Wallet wiederherzustellen, wenn sie sie beispielsweise verloren hatten.
In einem Videointerview mit Unchained sagten Ido Ben-Natan und Raz Niz, die Gründer des Anbieters von Krypto-Sicherheitstools Blockaid, dass Angriffe, die Geldbeutel entleeren, im Krypto-Bereich nach wie vor weit verbreitet seien.
„Die Einzigartigkeit dieses Angriffs lag vor allem in seiner Verbreitung, da der Angreifer hier in der Lage war, den Supply-Chain-Angriff, der so viele verschiedene Websites im Ökosystem betraf, dazu zu bringen, ihre Benutzer zu belasten“, sagte Niz.
UPDATE (14. Dezember 2023, 13:50 EST): Fügt Kommentare der Blockaid-Gründer hinzu.
UPDATE (14. Dezember 2023, 12:49 Uhr EST): Fügt Details zum aus Wallets entnommenen Betrag hinzu.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://unchainedcrypto.com/ledger-library-compromised-causing-confusion-and-panic-in-crypto-community/
- :hast
- :Ist
- :nicht
- ][P
- 000
- 1
- 10
- 12
- 120
- 13
- 14
- 2020
- 2023
- 31
- 33
- 49
- 50
- 500
- 8
- a
- bin
- Fähig
- Zugang
- Nach
- Konto
- über
- Adresse
- Adressen
- Fügt
- Administrator
- Angelegenheiten
- betroffen
- beeinflussen
- Nach der
- gegen
- erlaubt
- ebenfalls
- am
- Betrag
- an
- und
- angekündigt
- jedem
- Anwendungen
- Anwendungen (DApps)
- SIND
- um
- AS
- At
- Attacke
- Anschläge
- Versuch
- Badewanne
- Banteg
- BE
- weil
- werden
- war
- Bevor
- Sein
- zwischen
- Bit
- Tafel
- aber
- Kaufe
- Verursachen
- verursacht
- Kette
- Ketten
- Chef
- Chief Technology Officer
- geklärt
- klar
- klarer
- Code
- Codebasis
- Zufall
- Coindesk
- Bemerkungen
- gemeinsam
- community
- Unternehmen
- Kompromiss
- Kompromittiert
- Bedenken
- BESTÄTIGT
- Verwirrung
- Vernetz Dich
- Sie
- enthalten
- könnte
- erstellt
- Kritik
- Krypto
- Krypto-Gemeinschaft
- Kryptosicherheit
- Krypto Raum
- Krypto-Benutzer
- Krypto Brieftasche
- Kryptowährungen
- Kunden
- Cyber-
- Cyber-Kriminelle
- Organschäden
- dapp
- DApps
- technische Daten
- Dez
- Dezember
- dezentralisiert
- Dezentrale Anwendungen
- Dezentraler Austausch
- Bereitstellen
- detailliert
- Details
- Entwickler
- Gerät
- Unterschied
- anders
- Zwietracht
- entdeckt
- entdecken
- abtropfen
- abgelassen
- zwei
- E & T
- Früh
- Ökosystem
- Mitarbeiter
- vollständig
- jedermann
- Beispiel
- Austausch-
- Ausnutzen
- Exploited
- konfrontiert
- Tatsache
- Finale
- Vorname
- erstes Mal
- fixiert
- Aussichten für
- Früher
- Gründer
- für
- Mittel
- gewonnen
- Richte deinen Sinn auf das,
- gehackt
- Hardware
- Hardware Wallet
- hier
- GUTE
- STUNDEN
- Ultraschall
- HTTPS
- Hudson Jameson
- ICH MACHE
- if
- in
- Information
- Instanz
- interagieren
- Interaktion
- Schnittstelle
- Interview
- IT
- SEINE
- JavaScript
- jpg
- Justiz
- Tasten
- Labs
- Sprache
- Ledger
- Ledger Wallet
- Bibliotheken
- Bibliothek
- Limitiert
- Line
- verloren
- Glück
- hauptsächlich
- Hersteller
- viele
- Marktplatz
- max-width
- Kann..
- Million
- Morgen
- mehrere
- mehrere Ketten
- Name
- Need
- Neu
- Anzahl
- of
- Office
- Offizier
- on
- Panik
- Personen
- persönliche
- Phishing
- Phishing-Attacke
- Telefon
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politik durchzulesen
- Vieleck
- Polygon-Labs
- Pop
- Beliebt
- Post-
- gepostet
- möglicherweise
- Prozessdefinierung
- Programmierung
- Projekte
- Protokolle
- Versorger
- Öffentlichkeit
- veröffentlichen
- kürzlich
- Entspannung
- Erholung
- Registratur
- bleiben
- Entfernt
- ersetzt
- Wiederverwendung
- rund
- s
- Safe
- Sicherheit
- Said
- sah
- sagt
- Bildschirm
- Sicherheitdienst
- scheint
- verkaufen
- mehrere
- Teilen
- sollte
- gezeigt
- shutterstock
- Schild
- Vereinfacht
- da
- Seiten
- Situation
- So
- Software
- bald
- Quelle
- Raumfahrt
- Staking
- Immer noch
- Stoppen
- so
- liefern
- Supply Chain
- Support
- Sushiswap
- Synthetix
- gemacht
- Technik
- Technologie
- Vielen Dank
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Die Quelle
- ihr
- Sie
- vom Nutzer definierten
- fehlen uns die Worte.
- Donnerstag
- zu
- Zeit
- Timeline
- zu
- Werkzeuge
- was immer dies auch sein sollte.
- uns
- Unchained
- Einzigartigkeit
- bis
- Aktualisierung
- -
- Nutzer
- Verwendung von
- Version
- Opfer
- Video
- vp
- Verwundbarkeit
- warten
- Wallet
- Börsen
- gewarnt
- wurde
- Web3
- GUT
- wann
- welche
- während
- weit verbreitet
- werden wir
- Fenster
- mit
- wert
- würde
- X
- noch
- Ihr
- Zephyrnet