Napadalec na knjižnico Ledger Code Library porabil 480 $, potem ko je ogrozil na desetine Dapps Web3

Knjižnica kod, ki jo vzdržuje ponudnik kripto denarnice Ledger, je bila danes ogrožena, zaradi česar so sredstva uporabnikov ogrožena za več kot pet ur.

Glede na etherscan.io ima naslov približno 66 ETH iz 75 žetonov, vrednih približno 98,000 USD, z Lookonchain poročanje da je napadalcu uspelo izčrpati 484,000 $ premoženja. Naslov napadalca je bil na črni listi izdajatelja USDT Tether.

Ledger, največji ponudnik strojne denarnice po številu uporabnikov, objavljene na X, da se varna različica njegovega kompleta Ledger Connect samodejno širi. Podjetje priporoča, da počakate 24 ur, preden znova uporabite priključek.

Napadalec je okužil Ledger's Connect Kit – priljubljeno knjižnico kod, ki omogoča interakcijo med uporabniškimi denarnicami in dApps – z zlonamerno programsko opremo v tako imenovanem »napadu na dobavno verigo«.

Ogroženi uporabniki kriptovalut

Vsak uporabnik, ki je potrdil transakcije s kripto denarnicami, prek Ledgerja ali ne, je bil v nevarnosti izgube sredstev, saj številne aplikacije web3 uporabljajo Ledgerjevo knjižnico. Pomembni razvijalci kriptovalut so uporabnike pozvali, naj ne komunicirajo z nobenimi aplikacijami web3 dApps.

Matthew Lilley, tehnični direktor podjetja Sushi, je izkoriščanje označil na družbenih medijih. Banteg, glavni sodelavec za Yearn, je objavil, da je bila Ledgerjeva knjižnica ogrožena in "zamenjana z odcejalnikom."

Ledger je približno eno uro po odkritju izkoriščanja tvitnil, da je odstranil zlonamerno kodo.

"Zlonamerna različica datoteke je bila zamenjana s pristno različico okoli 2 po srednjeevropskem času," je dejal Ledger. »Vaša naprava Ledger in Ledger Live nista bila ogrožena …. Izčrpno poročilo bomo zagotovili takoj, ko bo pripravljeno.”

Zlonamerna programska oprema je bila aktivna 5 ur, čeprav je podjetju uspelo zakrpati in odpraviti težavo v 40 minutah po odkritju, pravi Ledger. Ledger je tudi zamenjal dovoljenja za objavo na svojem Githubu.

Zamenjava sušijain Preklic. Gotovina posodobili svoje knjižnice s fiksno različico, medtem ko Zapper sporočili, da so onemogočili ogroženo sprednjo stran.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit