Tým za účetní kniha potvrdil zranitelnost, pozorovanou 14. prosince. Problém byl spojen s knihovnou Ledger. Ve svém oficiálním prohlášení tým uvedl, že byla identifikována a odstraněna škodlivá verze sady Ledger Connect Kit. Během útoku mohlo být vyčerpáno přibližně 610 XNUMX USD.
„Nyní se nahrává pravá verze, která nahradí škodlivý soubor. V tuto chvíli nekomunikujte s žádnými dApps. O vývoji situace vás budeme průběžně informovat. Vaše zařízení Ledger a Ledger Live nebyly ohroženy.“
Při aktualizaci svého prohlášení tým Ledger uvedl, že škodlivá verze souboru byla nahrazena původní verzí kolem 14:35 SEČ.
„Nová originální verze by měla být brzy propagována. Jakmile bude připravena, poskytneme komplexní zprávu. Mezitím bychom rádi připomněli komunitě, aby vaše transakce vždy jasně podepisovala – pamatujte, že adresy a informace zobrazené na obrazovce vaší knihy jsou jediné skutečné informace. Pokud existuje rozdíl mezi obrazovkou zobrazenou na vašem zařízení Ledger a obrazovkou vašeho počítače/telefonu, okamžitě transakci zastavte,“ varoval.
🚨 Identifikovali jsme a odstranili škodlivou verzi sady Ledger Connect Kit. 🚨
Pravá verze je nyní nabízena, aby nahradila škodlivý soubor. V tuto chvíli nekomunikujte s žádnými dApps. O vývoji situace vás budeme průběžně informovat.
Vaše zařízení Ledger a…
- Ledger (@Ledger) 14. prosince 2023
Bezpečnostní výstraha Wallet Ledger: Chyba zabezpečení ovlivňuje platformy DeFi
Matthew Lilley, technický ředitel decentralizované burzy SushiSwap, učinil kritické prohlášení, varovat investory před vážnou bezpečnostní zranitelností. Podle Lilley by se uživatelé měli vyhnout interakci s jakýmkoli dApp až do odvolání. Tento návod přišel po zjištění, že platforma SushiSwap byla ohrožena škodlivým softwarem.
Zdroj problému, jak vysvětlil Lilley, souvisí s GitHub poskytovatele hardwarové peněženky Ledger. Zdůraznil vážnost situace a uvedl:
„Neinteragujte s ŽÁDNÝMI dApps až do odvolání. Zdá se, že široce používaný konektor web3 byl kompromitován, což umožňuje vložení škodlivého kódu ovlivňujícího velký počet dApps.“
Toto prohlášení poukázalo na rozsáhlý útok nejen na jeden dApp, ale na několik dalších, všechny propojené s knihovnou Ledger.