Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger
Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger. Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним. Спустя почти три часа после обнаружения нарушения безопасности Ledger сообщил, что вредоносный файл был заменен подлинной версией.
Ledger предупреждает пользователей всегда очищать подпис» транзакций, добавляя, что адреса и информация, представленные на экране Ledger, являются единственной подлинной информацией.
Технический директор SushiSwap Мэтью Лилли был одним из первых, кто сообщил о проблеме, отметив, что широко используемый коннектор Web3 был скомпрометирован, что позволило внедрить вредоносный код в многочисленные децентрализованные приложения.
Криптовалютные сервисы оказались под угрозой из-за взлома кода кошелька Ledger
Лилли обвинил Ledger в постоянной уязвимости и компрометации нескольких децентрализованных приложений. Руководитель заявил, что сеть доставки контента Ledger была скомпрометирована, а JavaScript загружался из взломанной сети.
Ledger Connector — это библиотека, используемая многими DApp и поддерживаемая Ledger. Был добавлен слив кошелька, поэтому слив активов из учетной записи пользователя может не произойти сам по себе. Однако запросы из браузерного кошелька, такого как MetaMask, будут отображаться и могут предоставить злоумышленникам доступ к активам.
Лилли предупредил пользователей избегать любых DApps, использующих коннектор Ledger, добавив, что «connect-kit» также уязвим, и что это не отдельная изолированная атака, а крупномасштабная атака на несколько DApps.
Вице-президент Polygon Labs Хадсон Джеймсон заявил, что даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие библиотеку, должны будут обновиться, прежде чем станет безопасно использовать DApps с использованием библиотек Ledger Web3.
В Ledger признали наличие уязвимости в своем коде и заявили, что удалили вредоносную версию Ledger Connect Kit. На данный момент неизвестно, какой был нанесен ущерб криптовалютным сервисам.
Подпишись на Tелеграм канал! Будь в курсе последних новостей криптомира. Не пропустить грядущий бычий цикл в крипте. Регулярная БЕСПЛАТНАЯ АНАЛИТИКА. Для всех подписчиков сообщества! Переходи по ссылке прямо сейчас!
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News
