El atacante de la biblioteca de códigos de contabilidad drena $ 480 mil después de comprometer docenas de Dapps Web3

Una biblioteca de códigos mantenida por el proveedor de billeteras criptográficas Ledger se vio comprometida hoy, poniendo en riesgo los fondos de los usuarios durante más de cinco horas.

Según etherscan.io, la dirección contiene aproximadamente 66 ETH de 75 tokens, con un valor aproximado de $98,000, con Lookonchain. la presentación de informes que el atacante logró drenar 484,000 dólares en activos. La dirección del atacante era lista negra por el emisor del USDT Tether.

Ledger, el mayor proveedor de billeteras de hardware por número de usuarios, publicado en X que una versión segura de su Ledger Connect Kit se está propagando automáticamente. La empresa recomienda esperar 24 horas antes de volver a interactuar con el conector.

El atacante infectó el Connect Kit de Ledger, una popular biblioteca de códigos que facilita las interacciones entre las billeteras de los usuarios y las dApps, con software malicioso en el llamado "ataque a la cadena de suministro".

Usuarios de criptomonedas en riesgo

Cualquier usuario que confirmara transacciones con billeteras criptográficas, ya sea a través de Ledger o no, corría el riesgo de perder fondos, ya que muchas dapps web3 utilizan la biblioteca de Ledger. Destacados desarrolladores de criptografía instaron a los usuarios a no interactuar con ninguna dApp web3.

Matthew Lilley, director de tecnología de Sushi, señaló el exploit en las redes sociales. Banteg, un colaborador principal de Yearn, publicó que la biblioteca de Ledger había sido comprometida y "reemplazada por un escurridor".

Ledger tuiteó aproximadamente una hora después de que se identificara el exploit para decir que había eliminado el código malicioso.

"La versión maliciosa del archivo fue reemplazada por la versión genuina alrededor de las 2:35 p.m. CET", dijo Ledger. “Su dispositivo Ledger y Ledger Live no se vieron comprometidos…. Proporcionaremos un informe completo tan pronto como esté listo”.

El software malicioso estuvo activo durante 5 horas, aunque la compañía logró parchar y solucionar el problema dentro de los 40 minutos de descubrirlo, dijo Ledger. Ledger también ha rotado los permisos para publicar en su Github.

sushiintercambiary Revocar.Cash han actualizado sus bibliotecas con la versión fija, mientras que Zapper anunció que desactivaron la interfaz comprometida.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit