Атака на Library конектора Ledger може вплинути на всю екосистему віртуальної машини Ethereum (EVM), згідно з командою Linea, зведеним результатом дослідження Consensys.
Хакер націлився на конектор Ledger Library, який був розроблений для забезпечення зв’язку між апаратними гаманцями Ledger і різними децентралізованими програмами (DApps). Провайдер гаманців MetaMask також постраждав від інциденту безпеки.
To all web3 users,
It looks like this vulnerability is affecting multiple dapps across the whole EVM ecosystem. It is very risky to interact with any dapps until the issue is properly addressed.Stay safe out there! https://t.co/kFykLW4lWm
— Linea (@LineaBuild) December 14, 2023
Відповідно до публікації на X (раніше Twitter), MetaMask розгорнув оновлення, щоб вирішити проблему, заявивши, що користувачі останньої версії v2.121.0 будуть автоматично оновлені та зможуть «знову здійснювати транзакції». Користувачам попередніх версій слід «оновити дані сайту».
Інші постраждалі протоколи включають Zapper, SushiSwap, Phantom, Balancer і Revoke.cash. Фірма безпеки блокчейну Certik повідомила Cointelegraph, що будь-який DApp, який імпортує CDN реєстру, автоматично виконає код дрейнера, спонукаючи жертв підключатися через будь-який гаманець, який вони підтримують.
Ledger — це популярний апаратний гаманець, який використовується багатьма членами спільноти криптовалют. Його роз’єм Library є критично важливим компонентом, який взаємодіє між апаратним забезпеченням Ledger і різними DApps. Ця Library може вплинути на велику кількість користувачів і транзакцій EVM, якщо її зламано.
Атака була розпочата після того, як колишній співробітник Ledger був підданий фішингу, і його обліковий запис NPMJS було скомпрометовано. «Зловмисник опублікував шкідливу версію Ledger Connect Kit (впливає на версії 1.1.5, 1.1.6 і 1.1.7). Шкідливий код використовував шахрайський проект WalletConnect для перенаправлення коштів на хакерський гаманець», — написала компанія. X.
Виправлення було випущено майже через 40 хвилин після того, як Леджер виявив проблему. Компанія попереджає користувачів зачекати 24 години, перш ніж знову використовувати Ledger Connect Kit.
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
Платформа аналітики блокчейнів Lookonchain стверджує, що хакер викрав активи на суму майже 484 000 доларів, але вплив порушення безпеки може бути більшим, зазначив Леджер.
