Penyerang Perpustakaan Kode Buku Besar Menghabiskan $480k Setelah Mengkompromikan Lusinan Dapps Web3

Pustaka kode yang dikelola oleh penyedia dompet kripto Ledger telah disusupi hari ini sehingga membahayakan dana pengguna selama lebih dari lima jam.

Sesuai etherscan.io, alamat tersebut menampung sekitar 66 ETH dari 75 token, bernilai sekitar $98,000, dengan Lookonchain pelaporan bahwa penyerang berhasil menguras aset sebesar $484,000. Alamat penyerang adalah daftar hitam oleh penerbit USDT Tether.

Ledger, penyedia dompet perangkat keras terbesar berdasarkan jumlah pengguna, diposting di X bahwa versi aman dari Ledger Connect Kit-nya sedang disebarkan secara otomatis. Perusahaan merekomendasikan menunggu selama 24 jam sebelum berinteraksi kembali dengan konektor.

Penyerang menginfeksi Connect Kit Ledger – pustaka kode populer yang memfasilitasi interaksi antara dompet pengguna dan dApps – dengan perangkat lunak berbahaya dalam apa yang disebut “serangan rantai pasokan.”

Pengguna Kripto Berisiko

Setiap pengguna yang mengonfirmasi transaksi dengan dompet kripto, baik melalui Ledger atau tidak, berisiko kehilangan dana, karena banyak dapp web3 menggunakan perpustakaan Ledger. Pengembang kripto terkemuka mendesak pengguna untuk tidak berinteraksi dengan dApps web3 apa pun.

Matthew Lilley, CTO Sushi, menandai eksploitasi tersebut di media sosial. Banteg, kontributor inti untuk Yearn, memposting bahwa perpustakaan Ledger telah disusupi dan “diganti dengan drainer.”

Ledger men-tweet sekitar satu jam setelah eksploitasi diidentifikasi untuk mengatakan bahwa ia telah menghapus kode berbahaya.

“Versi file berbahaya tersebut diganti dengan versi asli sekitar pukul 2:35 CET,” kata Ledger. “Perangkat Ledger dan Ledger Live Anda tidak disusupi…. Kami akan memberikan laporan komprehensif segera setelah siap.”

Perangkat lunak berbahaya tersebut aktif selama 5 jam, meskipun perusahaan berhasil menambal dan memperbaiki masalah dalam waktu 40 menit setelah menemukannya, Ledger siad. Ledger juga telah merotasi izin untuk mempublikasikan di Github mereka.

Tukar Sushi, dan Cabut.Uang Tunai telah memperbarui perpustakaan mereka dengan versi tetap, sedangkan Zapper mengumumkan bahwa mereka menonaktifkan frontend yang disusupi.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit