Cập nhật (lúc 2:45 chiều UTC ngày 14 tháng 12): Bài viết này đã được cập nhật để làm rõ rằng Ledger được cho là đã khắc phục sự cố.

Giao diện người dùng của nhiều ứng dụng phi tập trung (DApps) sử dụng trình kết nối của Ledger, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm vào ngày 14 tháng 12. Gần ba giờ sau khi phát hiện vi phạm bảo mật, Ledger đã báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC.

Ledger đang cảnh báo người dùng các giao dịch “luôn xóa dấu hiệu”, đồng thời nói thêm rằng địa chỉ và thông tin được trình bày trên màn hình Ledger là thông tin chính xác duy nhất. “Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đó ngay lập tức.”

Giám đốc kỹ thuật của SushiSwap, Matthew Lilley là một trong những người đầu tiên báo cáo vấn đề, lưu ý rằng trình kết nối Web3 thường được sử dụng đã bị xâm phạm, cho phép mã độc xâm nhập vào nhiều DApp. Nhà phân tích on-chain cho biết thư viện Ledger đã xác nhận sự xâm phạm trong đó mã dễ bị tấn công đã chèn địa chỉ tài khoản Drainer.

Lilley đổ lỗi cho Ledger về lỗ hổng và sự xâm phạm đang diễn ra trên nhiều DApp. Giám đốc điều hành tuyên bố rằng mạng phân phối nội dung của Ledger đã bị xâm phạm, trong đó JavaScript được tải từ mạng bị xâm nhập.

Trình kết nối sổ cái là một thư viện được nhiều DApp sử dụng và được Ledger duy trì. Một công cụ rút ví đã được thêm vào, do đó việc rút tài sản khỏi tài khoản của người dùng có thể không tự xảy ra. Tuy nhiên, lời nhắc từ ví trình duyệt như MetaMask sẽ hiển thị và có thể cấp cho các tác nhân độc hại quyền truy cập vào tài sản.

Lilley cảnh báo người dùng tránh bất kỳ DApp nào sử dụng trình kết nối Ledger, đồng thời nói thêm rằng “bộ kết nối” cũng dễ bị tấn công và đây không phải là một cuộc tấn công đơn lẻ mà là một cuộc tấn công quy mô lớn vào nhiều DApp.

Phó chủ tịch Polygon Labs, Hudson Jameson cho biết ngay cả sau khi Ledger sửa mã xấu trong thư viện của mình, các dự án sử dụng và triển khai thư viện sẽ cần phải cập nhật trước khi có thể sử dụng DApps bằng thư viện Web3 của Ledger một cách an toàn.

Ido Ben-Natan, đồng sáng lập và CEO của Blockaid, nói với Cointelegraph:

“Người dùng sổ cái không gặp rủi ro nếu không giao dịch. Nó không thể khai thác được khi được phê duyệt trước. Revoke.cash đặc biệt bị ảnh hưởng, vì vậy đừng tương tác với nó. số tiền bị ảnh hưởng là hàng trăm nghìn đô la trong hai giờ qua. Nhiều trang web vẫn bị ảnh hưởng và người dùng đang bị ảnh hưởng.”

Ledger thừa nhận lỗ hổng trong mã của nó và cho biết họ đã “xóa phiên bản độc hại của Ledger Connect Kit”, đồng thời nói thêm rằng “một phiên bản chính hãng hiện đang được đẩy để thay thế tệp độc hại”.