الفريق وراء دفتر الحسابات تم تأكيد وجود ثغرة أمنية، تمت ملاحظتها في 14 ديسمبر. تم ربط المشكلة بمكتبة Ledger. وذكر الفريق في بيانه الرسمي أنه تم التعرف على نسخة ضارة من Ledger Connect Kit وإزالتها، وربما تم استنزاف ما يقرب من 610 دولار أمريكي أثناء الهجوم.
"يتم الآن تحميل نسخة أصلية لتحل محل الملف الضار. لا تتفاعل مع أي dApps في هذا الوقت. وسنبقيكم على اطلاع مع تطور الوضع. لم يتم اختراق جهاز Ledger الخاص بك وLedger Live."
في تحديث بيانه، ذكر فريق Ledger أنه تم استبدال الإصدار الضار من الملف بالإصدار الأصلي في حوالي الساعة 14:35 مساءً بتوقيت وسط أوروبا.
"يجب نشر النسخة الأصلية الجديدة قريبًا. وسنقدم تقريرًا شاملاً بمجرد أن يصبح جاهزًا. في هذه الأثناء، نود تذكير المجتمع بضرورة التوقيع دائمًا على معاملاتك بوضوح - تذكر أن العناوين والمعلومات المعروضة على شاشة دفتر الأستاذ الخاص بك هي المعلومات الحقيقية الوحيدة. إذا كان هناك اختلاف بين الشاشة المعروضة على جهاز Ledger الخاص بك والشاشة الموجودة على جهاز الكمبيوتر/الهاتف الخاص بك، فقم بإيقاف المعاملة على الفور.
🚨لقد حددنا وأزلنا إصدارًا ضارًا من Ledger Connect Kit. 🚨
يتم الآن دفع نسخة أصلية لتحل محل الملف الضار. لا تتفاعل مع أي dApps في الوقت الحالي. وسنبقيكم على اطلاع مع تطور الوضع.
جهاز دفتر الأستاذ الخاص بك و...
- دفتر الأستاذ (Ledger) 14 كانون الأول، 2023
تنبيه أمني لدفتر المحفظة: ثغرة أمنية تؤثر على منصات التمويل اللامركزي
أصدر ماثيو ليلي، المدير التنفيذي للتكنولوجيا في البورصة اللامركزية SushiSwap، إعلانًا حاسمًا، تحذير المستثمرين من ثغرة أمنية خطيرة. وفقًا لليلي، يجب على المستخدمين تجنب التفاعل مع أي تطبيق dApp حتى إشعار آخر. وجاء هذا التوجيه بعد التعرف على أن منصة SushiSwap كانت تحت تهديد البرامج الضارة.
ويرتبط مصدر المشكلة، كما أوضحت ليلي، بمزود محفظة الأجهزة Ledger's GitHub. وشدد على خطورة الوضع قائلا:
"لا تتفاعل مع أي dApps حتى إشعار آخر. يبدو أن موصل web3 المستخدم على نطاق واسع قد تم اختراقه، مما يسمح بحقن تعليمات برمجية ضارة تؤثر على عدد كبير من التطبيقات اللامركزية.
أشار هذا البيان إلى هجوم واسع النطاق، ليس فقط على تطبيق dApp واحد، ولكن على العديد من التطبيقات الأخرى، وكلها مرتبطة بمكتبة Ledger.
