Trumpo inauguracijos proga Vašingtone bus surengtas pirmasis ‘Crypto Ball’
Keli DApps, naudojantys Ledger jungties biblioteką, pažeisti. Nuostoliai skaičiuojami
Gruodžio 14 d. buvo pažeista kelių decentralizuotų programų (DApps) front end , naudojančių Ledger jungiklį, įskaitant Zapper, SushiSwap, Balancer ir Revoke.cash.
SushiSwap vyriausiasis techninis pareigūnas Mathew Lilley pranešė, kad dažniausiai naudojama Web3 jungtis buvo pažeista, todėl į daugelį DApps buvo galima įterpti kenkėjišką kodą. Grandinės analitikas sakė, kad Ledger biblioteka patvirtino kompromitaciją, kai pažeidžiamas kodas įterpė drainerio sąskaitos adresą.
SushiSwap CTO kaltino Ledger dėl tebesitęsiančio pažeidžiamumo ir daugelio DApps kompromitavimo. CTO teigė, kad buvo pažeista Ledger turinio pristatymo sistema (CDN), po kurios sekė baisių klaidų grandinė – kai jie pirmiausia įkėlė Java skriptą iš pažeistos CDN, o įkeltos JS versijos neužrakino.
Ledger connector yra daugelio DApps naudojama ir Ledger prižiūrima biblioteka. Buvo pridėtas piniginės ištuštinimo įrenginys, todėl piniginės ištuštinimas iš naudotojo paskyros gali neįvykti savaime. Tačiau bus rodomi užklausimai iš naršyklės piniginės (pvz., MM), o tai gali suteikti piktavaliams prieigą prie turto.
DAppsOn-chain analitikai perspėjo naudotojus vengti bet kokių DApps, naudojančių Ledger jungtį, ir pridūrė, kad “connect-kit-loader” taip pat yra pažeidžiamas. Bet kuri DApp, kuri naudoja LedgerHQ / connect-kit, yra pažeidžiama. On-chain analitikai pridūrė, kad tai nėra pavienė izoliuota ataka, veikiau didelio masto ataka prieš daugelį dApps.
Bendrovės Polygon Labs viceprezidentas Hadsonas Džeimsonas sakė, kad net ir po to, kai Ledger ištaisys blogą kodą savo bibliotekoje, projektai, naudojantys ir diegiantys šią biblioteką, turės atnaujinti dalykus, kol bus saugu naudoti DApps, kurios naudoja Ledger Web3 bibliotekas.
Ledger pripažino savo kodo pažeidžiamumą ir sakė, kad pašalino kenkėjišką Ledger Connect Kit versiją. Dabar vietoj kenkėjiško failo diegiama originali versija.
Saugumo įmonė Blockaid apskaičiavo, kad per pastarąsias porą valandų buvo prarasta 150 000 JAV dolerių.