Matthew Lilley, CTO w SushiSwap, ostrzegł na X (Twitter), poprosił użytkowników, aby unikali interakcji z wszelkimi zdecentralizowanymi aplikacjami (dApps). Wiele innych dApps potwierdziło zagrożenie.
Incydenty związane z bezpieczeństwem w kryptowalutach są częste. Są one jednak odizolowane od pojedynczego protokołu. Jednak w chwili pisania tego tekstu trwa atak na wiele zdecentralizowanych aplikacji (dApps).
Użytkownicy poproszeni o unikanie interakcji z dApps z powodu kompromitacji
Lilley napisał na X (Twitter):
“Nie wchodź w interakcje z ŻADNYMI dApps do odwołania. Wygląda na to, że powszechnie używane złącze web3 zostało naruszone, co pozwala na wstrzyknięcie złośliwego kodu wpływającego na wiele dApps.”
CTO SushiSwap wyjaśnił później, że dApps korzystające z Ledger ConnectKit są podatne na ataki. Ostrzegł:
“Nie jest to pojedynczy, odizolowany atak, lecz atak na dużą skalę na wiele dApps.”
Firma Blockaid zajmująca się bezpieczeństwem Web3 podejrzewa potencjalny atak łańcucha dostaw na Ledger ConnectKit. Napisała ona:
Atakujący wstrzyknął drenujący portfel payload do popularnego pakietu NPM. Ma to obecnie wpływ na kilka popularnych dapps, w tym między innymi Hey.xyz i Sushi.com.
Co więcej, Blockaid podzielił się z BeInCrypto informacją, że w ciągu ostatnich dwóch godzin utracono środki o wartości ponad 150 000 USD. Również Revoke.cash potwierdził, że został on naruszony. W międzyczasie wezwał on również użytkowników do unikania korzystania z jakiejkolwiek strony kryptowalutowej do czasu wyjaśnienia sprawy.
Lilley próbował podsumować incydent w trzech punktach, mówiąc, że Ledger popełnił “łańcuch strasznych błędów”. Mimo to powiedział:
Ładują JS z CDN
Nie blokują wersji załadowanego JS.
Naruszono ich CDN.
Ostatecznie Ledger poinformował użytkowników, że zidentyfikował i usunął złośliwą wersję ConnectKit. Napisał on na X (Twitter):
“Prawdziwa wersja jest obecnie wypychana, aby zastąpić złośliwy plik. Na razie nie wchodź w interakcje z żadnymi dApps. Będziemy informować na bieżąco o rozwoju sytuacji.
Twoje urządzenie Ledger i Ledger Live nie zostały naruszone.”
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
