Ο πάροχος πορτοφολιών υλικού Ledger έχει προειδοποιήσει τους χρήστες να αποφεύγουν τη σύνδεση με οποιοδήποτε υποστηριζόμενο αποκεντρωμένες εφαρμογές (dApps) χρησιμοποιώντας το λογισμικό του λόγω συμβιβασμού στο Library ConnectKit του.
Σύμφωνα με πληροφορίες που κοινοποιήθηκαν στη λαβή X (πρώην Twitter), μια κακόβουλη έκδοση του Library ConnectKit εντοπίστηκε και αφαιρέθηκε από το backend του.
🚨Εντοπίσαμε και αφαιρέσαμε μια κακόβουλη έκδοση του Ledger Connect Kit. 🚨
Τώρα προωθείται μια γνήσια έκδοση για να αντικαταστήσει το κακόβουλο αρχείο. Μην αλληλεπιδράτε με καμία dApps προς το παρόν. Θα σας κρατάμε ενήμερους καθώς εξελίσσεται η κατάσταση.
Η Ledger συσκευή σας και…
— Ledger (@Ledger) 14 Δεκεμβρίου 2023
Ως εκ τούτου, συνιστάται στους χρήστες να μην αλληλεπιδρούν προσωρινά με οποιαδήποτε dApps. Ωστόσο, η Ledger διαβεβαίωσε τους χρήστες ότι οι συσκευές Ledger και οι εφαρμογές Ledger Live παραμένουν ανεπηρέαστες από τον κακόβουλο κώδικα.
Το παραβιασμένο κιτ σύνδεσης βιβλιοθήκης ανακαλύφθηκε για πρώτη φορά από έναν προγραμματιστή στο X με το όνομα χρήστη @bantg, ο οποίος δήλωσε ότι το backend του λογισμικού Ledger είχε εγχυθεί με ένα drainer.
🚨 Η βιβλιοθήκη του καθολικού επιβεβαιώθηκε ότι έχει παραβιαστεί και αντικαταστάθηκε με αποστραγγιστικό. περιμένετε να αλληλεπιδράσετε με οποιονδήποτε dapp μέχρι τα πράγματα να γίνουν πιο ξεκάθαρα.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
— banteg (@bantg) 14 Δεκεμβρίου 2023
Ο στραγγιστής υποτίθεται ότι προστέθηκε σε α δίκτυο παράδοσης περιεχομένου (CDN) που φιλοξενούσε τη βιβλιοθήκη λογισμικού.
Ρίχνοντας φως στον τρόπο προσθήκης του κακόβουλου κώδικα, το Blockaid δήλωσε ότι ένας κυβερνοεπιτιθέμενος εισήγαγε ένα «ωφέλιμο φορτίο που αποστραγγίζει το πορτοφόλι στο δημοφιλές πακέτο NPM», οδηγώντας σε συμβιβασμό για τα dApps που χρησιμοποιούν εκδόσεις 1.14 και νεότερες του Ledger’s ConnectKit.
🚨 Εντοπίσαμε μια πιθανή επίθεση στην αλυσίδα εφοδιασμού στο κιτ ledgerconnect 🚨
Ο εισβολέας εισήγαγε ένα πορτοφόλι που αποστραγγίζει ωφέλιμο φορτίο στο δημοφιλές πακέτο NPM.
Αυτό επηρεάζει επί του παρόντος μερικά δημοφιλή dapp, συμπεριλαμβανομένων, ενδεικτικά, https://t.co/2QJmKIGv9T— Blockaid (@blockaid_) 14 Δεκεμβρίου 2023
Ο Matthew Lilley, Chief Technology Officer (CTO) της Sush, αποκάλυψε επίσης ότι το LedgerHQ/connectkit φορτώνει JS από έναν λογαριασμό CDN είχε παραβιαστεί. Ως αποτέλεσμα, ένας κακόβουλος κώδικας JS εγχύθηκε σε πολλαπλές εφαρμογές DA.
Όχι, το LedgerHQ/connect-kit φορτώνει JS από ένα CDN, ο λογαριασμός τους CDN έχει παραβιαστεί, γεγονός που εισάγει κακόβουλο JS σε πολλαπλές dApps.
— Είμαι λογισμικό 🦇🔊 (@MatthewLilley) 14 Δεκεμβρίου 2023
Έργα Blockchain όπως το RevokeCash και το Kyber Network έχουν επιβεβαιώσει το περιστατικό. Η RevokeCash ανέστειλε για λίγο τον ιστότοπό της ως απάντηση, αλλά έκτοτε έχει διορθώσει το πρόβλημα, αφαιρώντας την εξάρτηση που εκμεταλλεύτηκε και ανοίγοντας ξανά τον ιστότοπό της.
⚠️⚠️⚠️⚠️⚠️⚠️⚠️
Προειδοποίηση: Πολλές δημοφιλείς εφαρμογές κρυπτογράφησης που ενσωματώνονται στη βιβλιοθήκη ConnectKit του Ledger, συμπεριλαμβανομένων https://t.co/MkINKOiX5N έχουν παραβιαστεί. Πήραμε προσωρινά τον ιστότοπο εκτός σύνδεσης καθώς διερευνούμε περαιτέρω. Συνιστούμε να μην χρησιμοποιείτε *οποιονδήποτε* ιστότοπο κρυπτογράφησης…— Revoke.cash (@RevokeCash) 14 Δεκεμβρίου 2023
Ωστόσο, το έργο έχει συμβουλεύσει τους χρήστες να μην συνδέουν τα κρυπτογραφικά πορτοφόλια τους σε οποιοδήποτε πρωτόκολλο blockchain για το υπόλοιπο της ημέρας.
Εξακολουθεί να μην είναι ασφαλές μετά την αντιμετώπιση του προβλήματος
Το πρωτόκολλο Ledger έχει επιβεβαιώσει την ανάπτυξη αυθεντικού λογισμικού και εργάζεται ενεργά για την εξάλειψη του ωφέλιμου φορτίου που αποστραγγίζει το πορτοφόλι από την υπηρεσία CDN του.
Παρά αυτές τις προσπάθειες, οι ειδικοί του κλάδου συμβουλεύουν να είναι προσεκτικοί οι χρήστες κρυπτογράφησης όταν ασχολούνται με οποιεσδήποτε λύσεις που βασίζονται στο Web3 προς το παρόν.
Ο προγραμματιστής του πυρήνα του Ethereum, Hudson Jameson, εξήγησε ότι εάν κάποιος χρήστης κρυπτογράφησης επισκεφτεί κάποιο από τα πολυάριθμα dApps που συνδέονται με το οικοσύστημα Ledger, τα μηνύματα του προγράμματος περιήγησης όπως το Metamask θα μπορούσαν να αποκαλύψουν τις λεπτομέρειες του κρυπτογραφικού πορτοφολιού του.
Αυτή η ευπάθεια ενέχει κίνδυνο παραβίασης περιουσιακών στοιχείων. Για τον μετριασμό αυτού του κινδύνου, συνιστάται στους χρήστες να απέχουν από την αλληλεπίδραση με τυχόν επηρεαζόμενες dApps μέχρι να κυκλοφορήσει η ενημέρωση.
Ledger Library Exploit Explainer για Average Folks
Τι συμβαίνει με τις πρόσφατες ειδοποιήσεις για μη χρήση dapps;
Μια βιβλιοθήκη που χρησιμοποιείται από πολλά dapp και η οποία διατηρείται από το Ledger παραβιάστηκε και προστέθηκε μια αποστράγγιση πορτοφολιού.
Τι κάνω ως κανονικός χρήστης;
Μην αλληλεπιδράτε με… https://t.co/exre0QfykD
— Hudson Jameson (@hudsonjameson) 14 Δεκεμβρίου 2023
Ο Jameson τόνισε ότι ακόμη και μετά την αφαίρεση του κακόβουλου κώδικα, όλες οι συνδεδεμένες dApps πρέπει να ενημερώσουν τις βιβλιοθήκες τους για να θεωρηθούν ασφαλείς για χρήση.