תוקף ספריית קוד הלדג'ר מוציא 480 $ לאחר התפשרות על עשרות Web3 Dapps

ספריית קודים שמתוחזקת על ידי ספקית ארנק הקריפטו Ledger נפגעה היום והעמידה את כספי המשתמשים בסיכון במשך יותר מחמש שעות.

לפי etherscan.io, הכתובת מכילה בערך 66 ETH מתוך 75 אסימונים, בשווי של כ-98,000 $, עם Lookonchain דיווח שהתוקף הצליח לנקז נכסים של 484,000 דולר. כתובתו של התוקף הייתה רשימה שחורה על ידי מנפיק USDT Tether.

Ledger, ספקית ארנקי החומרה הגדולה ביותר לפי מספר משתמשים, פורסם ב-X שגרסה בטוחה של Ledger Connect Kit שלה מופצת אוטומטית. החברה ממליצה להמתין 24 שעות לפני אינטראקציה עם המחבר שוב.

התוקף הדביק את Ledger's Connect Kit - ספריית קוד פופולרית המאפשרת אינטראקציות בין ארנקי משתמשים ו-dApps - בתוכנה זדונית במה שנקרא "התקפת שרשרת האספקה".

משתמשי קריפטו בסיכון

כל משתמש שמאשר עסקאות עם ארנקי קריפטו, בין אם באמצעות Ledger ובין אם לא, היה בסיכון לאבד כספים, מכיוון ש-web3 dapps רבים משתמשים בספריה של Ledger. מפתחי קריפטו בולטים קראו למשתמשים לא לקיים אינטראקציה עם כל web3 dApps.

מתיו לילי, ה-CTO של סושי, סימן את הניצול ברשתות החברתיות. באנטג, תורם מרכזי ב-Yearn, פרסם שהספרייה של לדג'ר נפגעה ו"הוחלפה במייבש".

לדג'ר צייץ כשעה לאחר זיהוי הניצול ואמר שהוא הסיר את הקוד הזדוני.

"הגרסה הזדונית של הקובץ הוחלפה בגרסה המקורית בסביבות השעה 2:35 CET", אמר לדג'ר. "מכשיר הלדג'ר שלך ולדג'ר לייב לא נפגעו... אנו נספק דוח מקיף ברגע שהוא יהיה מוכן".

התוכנה הזדונית הייתה פעילה במשך 5 שעות, למרות שהחברה הצליחה לתקן ולתקן את הבעיה תוך 40 דקות מרגע גילויה, לדג'ר סיאד. Ledger גם שינתה הרשאות לפרסום ב-Github שלהם.

סושי החלפה, ו ביטול. מזומן עדכנו את הספריות שלהם בגרסה הקבועה, ואילו זאפר הודיעו שהם משביתים את ה-frontend שנפגע.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit