Злоумышленник библиотеки кода Ledger похитил 480 тысяч долларов после компрометации десятков децентрализованных приложений Web3

Библиотека кодов, поддерживаемая поставщиком криптовалютных кошельков Ledger, сегодня была скомпрометирована, что поставило под угрозу средства пользователей на более чем пять часов.

Согласно etherscan.io, адрес содержит примерно 66 ETH из 75 токенов на сумму примерно 98,000 XNUMX долларов США с Lookonchain. сообщения что злоумышленнику удалось вывести активы на сумму 484,000 XNUMX долларов. Адрес злоумышленника был черный список эмитентом USDT Tether.

Ledger, крупнейший поставщик аппаратных кошельков по количеству пользователей, размещены на X, что безопасная версия его Ledger Connect Kit распространяется автоматически. Компания рекомендует подождать 24 часа, прежде чем снова взаимодействовать с разъемом.

Злоумышленник заразил Ledger's Connect Kit — популярную библиотеку кода, которая облегчает взаимодействие между пользовательскими кошельками и децентрализованными приложениями — вредоносным программным обеспечением в ходе так называемой «атаки по цепочке поставок».

Криптопользователи в опасности

Любой пользователь, подтверждавший транзакции с криптокошельками, независимо от того, через Ledger или нет, рисковал потерять средства, поскольку многие децентрализованные приложения web3 используют библиотеку Ledger. Известные разработчики криптовалют призвали пользователей не взаимодействовать с какими-либо децентрализованными приложениями web3.

Мэтью Лилли, технический директор Sushi, сообщил об уязвимости в социальных сетях. Бантег, основной участник Yearn, сообщил, что библиотека Леджера была скомпрометирована и «заменена на дренажную систему».

Примерно через час после обнаружения эксплойта Леджер написал в Твиттере, что вредоносный код был удален.

«Вредоносная версия файла была заменена подлинной версией около 2:35 по центральноевропейскому времени», — сказал Леджер. «Ваше устройство Ledger и Ledger Live не были скомпрометированы…. Мы предоставим подробный отчет, как только он будет готов».

Вредоносное программное обеспечение существовало в течение 5 часов, хотя компании удалось исправить и устранить проблему в течение 40 минут после ее обнаружения, сообщил Леджер. Ledger также поменял разрешения на публикацию на своем Github.

Сушии Отзыв Наличные обновили свои библиотеки фиксированной версией, тогда как Zapper объявили, что отключили скомпрометированный интерфейс.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit