Ο κατασκευαστής πορτοφολιών υλικού λέει ότι η ευπάθεια έχει επιδιορθωθεί, αλλά οι χρήστες πολλών dApps και πρωτοκόλλων εξακολουθούν να προειδοποιούνται να μην τα χρησιμοποιήσουν μέχρι να ξεκαθαρίσει η κατάσταση.
Δημοσιεύτηκε 14 Δεκεμβρίου 2023 στις 10:59 π.μ. EST.
Οι χρήστες κρυπτογράφησης είδαν κρυπτονομίσματα αξίας περίπου 500,000 δολαρίων να αποστραγγίζονται από τα πορτοφόλια τους την Πέμπτη το πρωί λόγω ενός συμβιβασμού του παρόχου πορτοφολιών υλικού Ledger's Connector Kit που επέτρεψε την εκμετάλλευση του front-end αρκετών αποκεντρωμένων εφαρμογών (dApps).
Η ευπάθεια δημιούργησε εκτεταμένο πανδαιμόνιο στην κοινότητα κρυπτογράφησης λόγω του πόσο διάχυτο θα μπορούσε να είναι δυνητικά το exploit, καθώς οι χρήστες δεν χρειαζόταν να χρησιμοποιούν πορτοφόλι Ledger για να επηρεαστούν και του γεγονότος ότι επηρέαζε dApps σε πολλαπλές αλυσίδες.
Η Ledger αφαίρεσε έκτοτε την κακόβουλη έκδοση του Ledger Connect Kit και την αντικατέστησε με "την γνήσια έκδοση" αρκετές ώρες μετά την ανακάλυψη της ευπάθειας, σύμφωνα με το νήμα X του παρόχου κρυπτογραφικού πορτοφολιού δημοσιεύτηκε στις 8:31 π.μ. ET.
Σύμφωνα με το Ledger's τελικό χρονοδιάγραμμα και ενημέρωση στους πελάτες, ο εισβολέας μπόρεσε να δημοσιεύσει μια κακόβουλη έκδοση του Ledger Connect Kit επειδή «σήμερα το πρωί CET, ένας πρώην υπάλληλος έπεσε θύμα επίθεσης phishing που απέκτησε πρόσβαση στον λογαριασμό του NPMJS». Το NPMJS είναι ένα μητρώο λογισμικού για τη γλώσσα προγραμματισμού JavaScript που απλοποιεί τη διαδικασία κοινής χρήσης και επαναχρησιμοποίησης κώδικα από τους προγραμματιστές.
Η εταιρεία υπενθύμισε στους χρήστες να "πάντα Εκκαθαρίστε την υπογραφή των συναλλαγών σας" και ότι "εάν υπάρχει διαφορά μεταξύ της οθόνης που εμφανίζεται στη συσκευή Ledger και της οθόνης του υπολογιστή/τηλεφώνου σας, σταματήστε αυτήν τη συναλλαγή αμέσως."
Ο Matthew Lilley, ο επικεφαλής τεχνολογίας στην αποκεντρωμένη ανταλλαγή SushiSwap, Έγραψε στο X το πρωί της Πέμπτης, «Ευτυχώς, η ζημιά φαίνεται να είναι περιορισμένη σε γενικές γραμμές χάρη σε λίγη τύχη και σύμπτωση που ανακάλυψε τόσο νωρίς».
Οι χρήστες προειδοποιήθηκαν να είναι ακόμη προσεκτικοί
Ο Ledger είπε, «Η νέα γνήσια έκδοση θα πρέπει να διαδοθεί σύντομα», και ωστόσο οι άνθρωποι εξακολουθούν να προειδοποιούν τους χρήστες κρυπτογράφησης να μην χρησιμοποιούν dApps και πρωτόκολλα κρυπτογράφησης. Ένας διαχειριστής κοινότητας Syntheix ρώτησε όλοι στο Discord να απέχουν από την αλληλεπίδραση με το ποντάρισμα dApp του, ενώ η Camelot «έντονα» συνιστάται «Όλοι να μην αλληλεπιδρούν με ΚΑΜΙΑ DAPP μέχρι να ξεκαθαρίσει πλήρως η κατάσταση».
"Ακόμη και αφού ο Ledger διορθώσει τον κακό κώδικα στη βιβλιοθήκη τους, τα έργα που χρησιμοποιούν και αναπτύσσουν αυτήν τη βιβλιοθήκη θα πρέπει να ενημερώσουν τα πράγματα για να είναι ασφαλές η χρήση εφαρμογών που χρησιμοποιούν τις βιβλιοθήκες web3 του Ledger." Έγραψε Polygon Labs Αντιπρόεδρος Hudson Jameson στο X.
Η βάση κωδικών του Ledger's Connector Kit περιείχε μια γραμμή που έλεγε "minimalDrainValue", την πηγή της πρόσφατης ευπάθειας. Αυτός ο συμβιβασμός επηρέασε τους χρήστες του front-end, επειδή εάν οι άνθρωποι αλληλεπιδρούσαν με τη διεπαφή αποκεντρωμένων εφαρμογών όπως το SushiSwap, το Zapper και το RevokeCash, θα εμφανιζόταν ένα κακόβουλο παράθυρο και όταν οι χρήστες συνδέουν τα πορτοφόλια τους, τα χρήματά τους θα εξαντλούνταν.
🚨 Η βιβλιοθήκη του καθολικού επιβεβαιώθηκε ότι έχει παραβιαστεί και αντικαταστάθηκε με αποστραγγιστικό. περιμένετε να αλληλεπιδράσετε με οποιονδήποτε dapp μέχρι τα πράγματα να γίνουν πιο ξεκάθαρα.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (@bantg) Δεκέμβριος 14, 2023
Δεν είναι η πρώτη φορά που ο Ledger αντιμετωπίζει προβλήματα ασφάλειας. Για παράδειγμα, το 2020, Ledger υπέφερε μια κυβερνοεπίθεση που είχε ως αποτέλεσμα τη διαρροή 1 εκατομμυρίου διευθύνσεων email στο RaidForums, καθώς και λεπτομερών προσωπικών πληροφοριών, όπως ταχυδρομική διεύθυνση, όνομα και αριθμό τηλεφώνου. Το Γραφείο Δημοσίων Υποθέσεων των ΗΠΑ που ονομάζεται Το RaidForums «μια δημοφιλής αγορά για τους εγκληματίες του κυβερνοχώρου να αγοράζουν και να πωλούν χακαρισμένα δεδομένα». Επίσης, το 2020, ένα email που υποδύεται την υποστήριξη του Ledger μεταχειρισμένος μια τεχνική phishing στους πελάτες σε μια προσπάθεια κλοπής των δεδομένων τους.
Ο Ledger αντιμετώπισε επίσης κριτική για τις πολιτικές ασφαλείας του τον Μάιο του 2023, όταν την ανακοίνωσε λειτουργία ανάκτησης ιδιωτικών κλειδιών, το οποίο επέτρεπε στους πελάτες να ανακτήσουν τα κλειδιά του πορτοφολιού τους στο Ledger, εάν, για παράδειγμα, τα έχαναν.
Σε μια συνέντευξη βίντεο με τους Unchained, Ido Ben-Natan και Raz Niz, οι ιδρυτές του παρόχου εργαλείων ασφάλειας κρυπτογράφησης, Blockaid, δήλωσαν ότι οι επιθέσεις αποστράγγισης πορτοφολιών παραμένουν κοινές στον χώρο των κρυπτογράφησης.
«Η μοναδικότητα αυτής της επίθεσης αφορούσε κυρίως το πόσο διαδεδομένη ήταν επειδή ο εισβολέας εδώ μπόρεσε να προκαλέσει την επίθεση στην αλυσίδα εφοδιασμού που επηρέασε τόσους πολλούς διαφορετικούς ιστότοπους στο οικοσύστημα για να αποστραγγίσει τους χρήστες τους», είπε ο Niz.
ΕΝΗΜΕΡΩΣΗ (14 Δεκεμβρίου 2023, 13:50 EST): Προσθέτει τα σχόλια των ιδρυτών του Blockaid.
ΕΝΗΜΕΡΩΣΗ (14 Δεκεμβρίου 2023, 12:49 μ.μ. EST): Προσθέτει λεπτομέρειες για το ποσό που λαμβάνεται από τα πορτοφόλια.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://unchainedcrypto.com/ledger-library-compromised-causing-confusion-and-panic-in-crypto-community/
- :έχει
- :είναι
- :δεν
- ][Π
- 000
- 1
- 10
- 12
- 120
- 13
- 14
- 2020
- 2023
- 31
- 33
- 49
- 50
- 500
- 8
- a
- είμαι
- Ικανός
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- απέναντι
- διεύθυνση
- διευθύνσεις
- Προσθέτει
- διαχειριστής
- Υποθέσεων
- επηρεαστούν
- συγκινητικός
- Μετά το
- κατά
- επιτρέπεται
- Επίσης
- am
- ποσό
- an
- και
- ανακοίνωσε
- κάθε
- εφαρμογές
- Εφαρμογές (DApps)
- ΕΙΝΑΙ
- γύρω
- AS
- At
- επίθεση
- Επιθέσεις
- απόπειρα
- Κακός
- μπαντέγκ
- BE
- επειδή
- γίνονται
- ήταν
- πριν
- είναι
- μεταξύ
- Κομμάτι
- επιτροπή
- αλλά
- αγορά
- Αιτία
- προκαλώντας
- αλυσίδα
- αλυσίδες
- αρχηγός
- Γενικός Διευθυντής Τεχνολογίας
- διευκρινίστηκε
- καθαρός
- σαφέστερη
- κωδικός
- Βάση κώδικα
- σύμπτωση
- Coindesk
- σχόλια
- Κοινός
- κοινότητα
- εταίρα
- συμβιβασμός
- Συμβιβασμένος
- Πιθανά ερωτήματα
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- σύγχυση
- Connect
- συνδεδεμένος
- που περιέχονται
- θα μπορούσε να
- δημιουργήθηκε
- κριτική
- κρυπτο
- crypto κοινότητα
- ασφάλεια κρυπτογράφησης
- κρυπτογραφικό διάστημα
- χρήστες κρυπτογράφησης
- Crypto πορτοφόλι
- cryptocurrencies
- Πελάτες
- στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- βλάβη
- dapp
- dapps
- ημερομηνία
- Δεκέμβριος
- Δεκέμβριος
- Αποκεντρωμένη
- Αποκεντρωμένες Εφαρμογές
- Αποκεντρωμένη ανταλλαγή
- ανάπτυξη
- λεπτομερής
- καθέκαστα
- προγραμματιστές
- συσκευή
- διαφορά
- διαφορετικές
- διχόνοια
- ανακάλυψαν
- ανακαλύπτοντας
- αποστράγγιση
- στραγγισμένο
- δυο
- Ε & Τ
- Νωρίς
- οικοσύστημα
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Υπάλληλος
- εξ ολοκλήρου
- όλοι
- παράδειγμα
- ανταλλαγή
- Εκμεταλλεύομαι
- Κακοποιημένα
- αντιμετωπίζουν
- γεγονός
- τελικός
- Όνομα
- πρώτη φορά
- καθορίζεται
- Για
- Πρώην
- Οι ιδρυτές
- από
- χρήματα
- κέρδισε
- γνήσια
- hacked
- υλικού
- Πορτοφόλι υλικού
- εδώ
- Ψηλά
- ΩΡΕΣ
- Πως
- HTTPS
- Χάντσον Τζέιμσον
- ΔΕΧΟΜΑΙ
- if
- in
- πληροφορίες
- παράδειγμα
- αλληλεπιδρούν
- αλληλεπιδρώντας
- περιβάλλον λειτουργίας
- συνέντευξη
- IT
- ΤΟΥ
- το JavaScript
- jpg
- Δικαιοσύνη
- πλήκτρα
- Labs
- Γλώσσα
- Καθολικό
- Ledger Πορτοφόλι
- βιβλιοθήκες
- Βιβλιοθήκη
- Περιωρισμένος
- γραμμή
- έχασε
- τύχη
- κυρίως
- κατασκευαστής
- πολοί
- αγορά
- max-width
- Ενδέχεται..
- εκατομμύριο
- Πρωί
- πολλαπλούς
- πολλαπλές αλυσίδες
- όνομα
- Ανάγκη
- Νέα
- αριθμός
- of
- Office
- Αξιωματικός
- on
- έξω
- Πανικός
- People
- προσωπικός
- Phishing
- επίθεση phishing
- τηλέφωνο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Πολιτικές
- Πολύγωνο
- Polygon Labs
- ποπ
- Δημοφιλής
- ταχυδρομικός
- δημοσιεύτηκε
- ενδεχομένως
- διαδικασια μας
- Προγραμματισμός
- έργα
- πρωτόκολλα
- προμηθευτής
- δημόσιο
- δημοσιεύει
- πρόσφατος
- Ανάκτηση
- ανάκτηση
- μητρώου
- παραμένουν
- Καταργήθηκε
- αντικατασταθούν
- επαναχρησιμοποίηση
- περίπου
- s
- ένα ασφαλές
- Ασφάλεια
- Είπε
- πριόνι
- λέει
- Οθόνη
- ασφάλεια
- φαίνεται
- πωλούν
- διάφοροι
- Κοινοποίηση
- θα πρέπει να
- παρουσιάζεται
- Shutterstock
- υπογράψουν
- απλοποιεί
- αφού
- Sites
- κατάσταση
- So
- λογισμικό
- σύντομα
- Πηγή
- Χώρος
- Staking
- Ακόμη
- στάση
- τέτοιος
- προμήθεια
- αλυσίδας εφοδιασμού
- υποστήριξη
- σούσις
- Σύνθετο
- λαμβάνεται
- τεχνική
- Τεχνολογία
- Ευχαριστώ
- ότι
- Η
- Η Πηγη
- τους
- Τους
- αυτοί
- πράγματα
- αυτό
- Πέμπτη
- να
- ώρα
- χρονοδιάγραμμα
- προς την
- εργαλεία
- αληθής
- Τουίτερ
- μας
- Unchained
- μοναδικότητα
- μέχρι
- Ενημέρωση
- χρήση
- Χρήστες
- χρησιμοποιώντας
- εκδοχή
- Θύμα
- Βίντεο
- vp
- ευπάθεια
- περιμένετε
- Πορτοφόλι
- Πορτοφόλια
- προειδοποίησε
- ήταν
- Web3
- ΛΟΙΠΌΝ
- πότε
- Ποιό
- ενώ
- διαδεδομένη
- θα
- παράθυρο
- με
- αξία
- θα
- X
- ακόμη
- Σας
- zephyrnet