Nhiều ứng dụng phi tập trung sử dụng thư viện trình kết nối của Ledger đã bị xâm phạm, bao gồm SushiSwap và Revoke.cash. Ledger tuyên bố vấn đề đã được khắc phục.
Cập nhật (lúc 2:45 chiều UTC ngày 14 tháng 12): Bài viết này đã được cập nhật để làm rõ rằng Ledger được cho là đã khắc phục sự cố.
Giao diện người dùng của nhiều ứng dụng phi tập trung (DApps) sử dụng trình kết nối của Ledger, bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm vào ngày 14 tháng 12. Gần ba giờ sau khi phát hiện vi phạm bảo mật, Ledger đã báo cáo rằng phiên bản độc hại của tệp đã được thay thế bằng phiên bản chính hãng vào khoảng 1:35 chiều UTC.
Ledger đang cảnh báo người dùng các giao dịch “luôn xóa dấu hiệu”, đồng thời nói thêm rằng địa chỉ và thông tin được trình bày trên màn hình Ledger là thông tin chính xác duy nhất. “Nếu có sự khác biệt giữa màn hình hiển thị trên thiết bị Ledger và màn hình máy tính/điện thoại của bạn, hãy dừng giao dịch đó ngay lập tức.”
Giám đốc kỹ thuật của SushiSwap, Matthew Lilley là một trong những người đầu tiên báo cáo vấn đề, lưu ý rằng trình kết nối Web3 thường được sử dụng đã bị xâm phạm, cho phép mã độc xâm nhập vào nhiều DApp. Nhà phân tích on-chain cho biết thư viện Ledger đã xác nhận sự xâm phạm trong đó mã dễ bị tấn công đã chèn địa chỉ tài khoản Drainer.
BÁO ĐỘNG ĐỎ :
Không tương tác với BẤT KỲ dApp nào cho đến khi có thông báo mới. Có vẻ như một trình kết nối web3 thường được sử dụng đã bị xâm phạm, cho phép tiêm mã độc ảnh hưởng đến nhiều dApp.
– Tôi là Phần mềm (@MatthewLilley) Ngày 14 tháng 12 năm 2023
Lilley đổ lỗi cho Ledger về lỗ hổng và sự xâm phạm đang diễn ra trên nhiều DApp. Giám đốc điều hành tuyên bố rằng mạng phân phối nội dung của Ledger đã bị xâm phạm, trong đó JavaScript được tải từ mạng bị xâm nhập.
có vẻ như gói npm @ledgerhq/connect-kit của Ledger đã bị hack, lần xuất bản mới nhất là 2 giờ trước. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Kẻ đánh hơi lừa đảo | Chống lừa đảo Web3 (@realScamSniffer) Ngày 14 tháng 12 năm 2023
Trình kết nối sổ cái là một thư viện được nhiều DApp sử dụng và được Ledger duy trì. Một công cụ rút ví đã được thêm vào, do đó việc rút tài sản khỏi tài khoản của người dùng có thể không tự xảy ra. Tuy nhiên, lời nhắc từ ví trình duyệt như MetaMask sẽ hiển thị và có thể cấp cho các tác nhân độc hại quyền truy cập vào tài sản.
Lilley cảnh báo người dùng tránh bất kỳ DApp nào sử dụng trình kết nối Ledger, đồng thời nói thêm rằng “bộ kết nối” cũng dễ bị tấn công và đây không phải là một cuộc tấn công đơn lẻ mà là một cuộc tấn công quy mô lớn vào nhiều DApp.
Lỗ hổng với Ledger Connect Kit cần được giải quyết ngay bây giờ
Đây dường như chỉ là một cách khai thác EVM, nhưng chúng tôi có thể xác nhận rằng người dùng Phantom trên các dapp có giao diện người dùng bị xâm nhập sẽ thấy các cảnh báo thích hợp trong bản xem trước giao dịch của chúng tôi.
– Bóng ma (@phantom) Ngày 14 tháng 12 năm 2023
Phó chủ tịch Polygon Labs, Hudson Jameson cho biết ngay cả sau khi Ledger sửa mã xấu trong thư viện của mình, các dự án sử dụng và triển khai thư viện sẽ cần phải cập nhật trước khi có thể sử dụng DApps bằng thư viện Web3 của Ledger một cách an toàn.
có vẻ như 0K+ đã cạn kiệt
khách hàng thoát nước
0x658729879fca881d9526480b82ae00efc54b5c2d
địa chỉ thu phí thông cống
0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo– ZachXBT (@zachxbt) Ngày 14 tháng 12 năm 2023
Ido Ben-Natan, đồng sáng lập và CEO của Blockaid, nói với Cointelegraph:
“Người dùng sổ cái không gặp rủi ro nếu không giao dịch. Nó không thể khai thác được khi được phê duyệt trước. Revoke.cash đặc biệt bị ảnh hưởng, vì vậy đừng tương tác với nó. số tiền bị ảnh hưởng là hàng trăm nghìn đô la trong hai giờ qua. Nhiều trang web vẫn bị ảnh hưởng và người dùng đang bị ảnh hưởng.”
Ledger thừa nhận lỗ hổng trong mã của nó và cho biết họ đã “xóa phiên bản độc hại của Ledger Connect Kit”, đồng thời nói thêm rằng “một phiên bản chính hãng hiện đang được đẩy để thay thế tệp độc hại”.
Chúng tôi đã xác định và xóa phiên bản độc hại của Ledger Connect Kit.
Một phiên bản chính hãng hiện đang được đẩy mạnh để thay thế tệp độc hại. Không tương tác với bất kỳ dApps nào vào lúc này. Chúng tôi sẽ thông báo cho bạn khi tình hình phát triển.
Thiết bị sổ cái của bạn và…
— Sổ cái (@Ledger) Ngày 14 tháng 12 năm 2023
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo CoinTelegraph