Хотя крупномасштабный хак, нацеленный на зависимости JavaScript crypto, мог бы нанести серьезный ущерб, он потерпел неудачу. В общей сложности было украдено всего 500 долларов.
Хакерская атака, направленная на криптографические зависимости JavaScript, провалилась
В понедельник вечером мы предупредили о уязвимости, которая могла нанести значительный ущерб, поскольку ее крупномасштабное использование могло поставить под угрозу многие криптовалютные кошельки. Вкратце, атака была направлена на учетную запись разработчика в менеджере пакетов JavaScript NPM.
Поскольку этот разработчик имеет большое количество подписчиков, было бы совершено более миллиарда загрузок мошеннических программ, что теоретически дало бы злоумышленникам возможность похитить средства путем подделки адресов в приложениях, использующих указанные пакеты.
Тем не менее, этот случай вызвал больше страха, чем реального ущерба, поскольку, по данным Arkham, в общей сложности было похищено всего 500 долларов:
На X Чарльз Гийемет, технический директор Ledger, объясняет, что ошибки злоумышленника позволили быстро обнаружить маневр. Однако он предупреждает о подобных угрозах, к которым нельзя относиться легкомысленно:
Тем не менее, это явное напоминание: если ваши средства хранятся в программном кошельке или на биржевой платформе, одно единственное выполнение кода отделяет вас от полной потери. Компрометация цепочки поставок остается мощным вектором распространения вредоносного ПО, и мы также наблюдаем появление более целенаправленных атак. Аппаратные кошельки разработаны для противостояния этим угрозам. Такие функции, как четкая подпись, позволяют вам точно подтвердить, что происходит, а проверки транзакций сигнализируют о подозрительной активности, прежде чем станет слишком поздно. Непосредственная опасность, возможно, миновала, но угроза по-прежнему существует.
Со своей стороны, несколько разработчиков кошельков, в том числе MetaMask и OKX Wallet, заявили, что их приложения остаются безопасными.
