Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger

Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger. Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним. Спустя почти три часа после обнаружения нарушения безопасности Ledger сообщил, что вредоносный файл был заменен подлинной версией.

Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger

Ledger предупреждает пользователей всегда очищать подпис» транзакций, добавляя, что адреса и информация, представленные на экране Ledger, являются единственной подлинной информацией. 

Технический директор SushiSwap Мэтью Лилли был одним из первых, кто сообщил о проблеме, отметив, что широко используемый коннектор Web3 был скомпрометирован, что позволило внедрить вредоносный код в многочисленные децентрализованные приложения. 

Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger

Лилли обвинил Ledger в постоянной уязвимости и компрометации нескольких децентрализованных приложений. Руководитель заявил, что сеть доставки контента Ledger была скомпрометирована, а JavaScript загружался из взломанной сети.

Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger

Ledger Connector — это библиотека, используемая многими DApp и поддерживаемая Ledger. Был добавлен слив кошелька, поэтому слив активов из учетной записи пользователя может не произойти сам по себе. Однако запросы из браузерного кошелька, такого как MetaMask, будут отображаться и могут предоставить злоумышленникам доступ к активам.

Лилли предупредил пользователей избегать любых DApps, использующих коннектор Ledger, добавив, что «connect-kit» также уязвим, и что это не отдельная изолированная атака, а крупномасштабная атака на несколько DApps.

Вице-президент Polygon Labs Хадсон Джеймсон заявил, что даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие библиотеку, должны будут обновиться, прежде чем станет безопасно использовать DApps с использованием библиотек Ledger Web3.

В Ledger признали наличие уязвимости в своем коде и заявили, что удалили вредоносную версию Ledger Connect Kit. На данный момент неизвестно, какой был нанесен ущерб криптовалютным сервисам.   

Подпишись на Tелеграм канал! Будь в курсе последних новостей криптомира. Не пропустить грядущий бычий цикл в крипте. Регулярная БЕСПЛАТНАЯ АНАЛИТИКА. Для всех подписчиков сообщества! Переходи по ссылке прямо сейчас!

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News

0 0 голоса
Рейтинг статьи

Эд Мицкевич

Поддерживаю Freedman. Club в процессе популяризации криптовалют, считаю важными основные принципы децентрализации, свободы и ответственности выбора.

Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x