It-tim wara l- Ledger ikkonfermat vulnerabbiltà, osservata fl-14 ta’ Diċembru. Il-problema kienet marbuta mal-librerija Ledger. Fl-istqarrija uffiċjali tiegħu, it-tim iddikjara li ġiet identifikata u mneħħija verżjoni malizzjuża tal-Ledger Connect Kit. Madwar 610 USD setgħu ġew skulati waqt l-attakk.
“Qed tittella’ verżjoni ġenwina biex tissostitwixxi l-fajl malizzjuż issa. M'għandekx jinteraġixxi ma' xi dApps f'dan il-ħin. Inżommukom infurmat hekk kif is-sitwazzjoni tevolvi. L-apparat Ledger tiegħek u Ledger Live ma ġewx kompromessi.”
Fl-aġġornament tad-dikjarazzjoni tiegħu, it-tim tal-Ledger iddikjara li l-verżjoni malizzjuża tal-fajl ġiet sostitwita bil-verżjoni oriġinali għall-ħabta tas-14:35 pm CET.
“Il-verżjoni ġenwina ġdida għandha tiġi propagata dalwaqt. Aħna ser nipprovdu rapport komprensiv hekk kif ikun lest. Sadanittant, nixtiequ nfakkru lill-komunità biex dejjem tiffirma t-tranżazzjonijiet tiegħek b'mod ċar - ftakar li l-indirizzi u l-informazzjoni murija fuq l-iskrin tal-Ledger tiegħek huma l-unika informazzjoni ġenwina. Jekk hemm differenza bejn l-iskrin muri fuq it-tagħmir Ledger tiegħek u l-iskrin fuq il-kompjuter/telefon tiegħek, waqqaf it-tranżazzjoni immedjatament,” wissa.
🚨Identifikajna u neħħejna verżjoni malizzjuża tal-Ledger Connect Kit. 🚨
Verżjoni ġenwina qed tiġi mbuttata biex tissostitwixxi l-fajl malizzjuż issa. M'għandekx jinteraġixxi ma' xi dApps għalissa. Inżommukom infurmat hekk kif is-sitwazzjoni tevolvi.
L-apparat tar-reġistru tiegħek u...
- Ledger (@Ledger) Diċembru 14, 2023
Twissija tas-Sigurtà tal-Kaltieri tal-Kartiera: Il-Vulnerabbiltà Taffettwa Pjattaformi DeFi
Matthew Lilley, is-CTO ta 'skambju deċentralizzat SushiSwap, għamel avviż kritiku, twissi lill-investituri dwar vulnerabbiltà serja tas-sigurtà. Skont Lilley, l-utenti għandhom jevitaw li jinteraġixxu ma' kwalunkwe dApp sa avviż ieħor. Din il-gwida ġiet wara rikonoxximent li l-pjattaforma SushiSwap kienet taħt theddida minn softwer malizzjuż.
Is-sors tal-problema, kif spjegat minn Lilley, huwa marbut mal-fornitur tal-kartiera tal-ħardwer Ledger's GitHub. Huwa enfasizza s-serjetà tas-sitwazzjoni, u stqarr:
“Tinterazzjonix ma’ XI dApps qabel avviż ieħor. Konnettur web3 użat ħafna jidher li ġie kompromess, li jippermetti l-injezzjoni ta’ kodiċi malizzjuż li jaffettwa numru kbir ta’ dApps.”
Din id-dikjarazzjoni indikat attakk fuq skala kbira, mhux biss fuq dApp waħda, iżda bosta oħrajn, kollha marbuta mal-librerija Ledger.