По мнению команды Linea, слияния с нулевым разглашением информации от Consensys, атака на коннектор Ledger Library может повлиять на всю экосистему виртуальных машин Ethereum (EVM).
Хакер нацелился на коннектор Ledger Library, который был разработан для обеспечения связи между аппаратными кошельками Ledger и различными децентрализованными приложениями (DApps). Провайдер кошельков MetaMask также пострадал от инцидента с безопасностью.
To all web3 users,
It looks like this vulnerability is affecting multiple dapps across the whole EVM ecosystem. It is very risky to interact with any dapps until the issue is properly addressed.Stay safe out there! https://t.co/kFykLW4lWm
— Linea (@LineaBuild) December 14, 2023
Согласно сообщению на X (ранее Twitter), MetaMask развернула обновление для устранения проблемы, заявив, что пользователи последней версии v2.121.0 будут автоматически обновлены и смогут «снова совершать транзакции». Пользователям предыдущих версий следует «обновить данные сайта».
Другие затронутые протоколы включают Zapper, SushiSwap, Phantom, Balancer и Revoke.cash. Фирма Certik, занимающаяся безопасностью блокчейн, сообщила Cointelegraph, что любое DApp, импортирующее CDN реестра, автоматически выполнит код слива, предлагая жертвам подключиться через любой кошелек, который они поддерживают.
Ledger — популярный аппаратный кошелек, используемый многими представителями криптовалютного сообщества. Его разъем Library является важным компонентом, который взаимодействует между оборудованием Ledger и различными DApps. В случае взлома эта Library может повлиять на большое количество пользователей и транзакций EVM.
Атака была инициирована после того, как бывший сотрудник Ledger подвергся фишингу и был скомпрометирован его аккаунт NPMJS. «Злоумышленник опубликовал вредоносную версию Ledger Connect Kit (затрагивает версии 1.1.5, 1.1.6 и 1.1.7). Вредоносный код использовал мошеннический проект WalletConnect для перенаправления средств на хакерский кошелек», — написали в компании. ИКС.
Исправление было выпущено почти через 40 минут после того, как Ledger обнаружил проблему. Компания предупреждает пользователей подождать 24 часа, прежде чем снова использовать Ledger Connect Kit.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
Аналитическая платформа блокчейна Lookonchain заявила, что хакер украл активы на сумму почти 484 000 долларов, но последствия нарушения безопасности могут быть более значительными, отметил Леджер.
