В момента се провежда мащабна атака, която потенциално може да засегне всички децентрализирани приложения (dApps), включващи комплекта за свързване на Ledger. Понастоящем се препоръчва да НЕ посещавате никакви уебсайтове, предлагащи функционалността за свързване на портфейл Web3
DTD 15:18: Според фирмата актуализацията на Ledger се разпространява. Ledger също така заяви, че „пълният доклад“ ще бъде публикуван веднага щом бъде готов.
ДЕЙСТВИЕ 15:06: Banteg публикува съобщение, в което се посочва, че Ledger е въвела актуализация и че зловредният код е бил изтрит. Въпреки това все още се препоръчва да не се взаимодейства с което и да е приложение, което позволява свързването на Wallet, тъй като разпространението може да отнеме известно време.
UPDATE 15:03: Според Игор Игамбердиев зловредният код е бил имплементиран тази сутрин около 8:44 ч., така че е вероятно (но не е сигурно), че потенциално застрашените портфейли са тези, които са взаимодействали с комплекта за свързване на Ledger след този час.
UPDATE 14:57: Според разследващия във веригата ZachXBT чрез дефекта вече са откраднати повече от 610 000 долара. Според данни на Arkham Intelligence се смята, че адресът, посочен от ZachXBT, е изпратил средства на Angel Drainer, чийто портфейл възлиза на повече от 1 милион долара.
В ход е голяма атака
Това може да е една от най-големите атаки, извършвани някога в екосистемата Web3: изглежда, че всички децентрализирани приложения (dApps), включващи инструмента за свързване Ledger, са заразени и кодът им е заменен с функция за източване.
Дефектът беше докладван първо от протокола Sushi, който от съображения за сигурност извади сайта си офлайн и който ни информира, че проблемът произлиза от Ledger:
Спешен сигнал за сигурност
Идентифицирахме критичен проблем конекторът на Ledger е бил компрометиран, което потенциално позволява инжектирането на зловреден код, засягащ различни dApps.
Ако сте отворили страницата на Суши и видите неочакван изскачащ прозорец „Свържи портфейла“, НЕ… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Matthew Lilley, технически директор на Sushi, заяви, че недостатъкът наистина е възникнал в Ledger, и по-конкретно в техния Connect Kit, който отговаря за управлението на взаимодействието с децентрализираните приложения. Списъкът на потенциално засегнатите приложения може да бъде намерен тук. Това са всички приложения, които интегрират тази функционалност на Ledger
Всяко dApp, което използва LedgerHQ/connect-kit, е уязвимо. Не използвайте НИКАКВИ dApps до второ нареждане. Това не е единична изолирана атака, а широкомащабна атака срещу множество dApps. https://t.co/a3brXNQSx9
– I’m Software (@MatthewLilley) December 14, 2023
Тази атака е още по-коварна, тъй като е заразила и сайтове, които позволяват отнемане на разрешения, дадени на интелигентни договори, като Revoke.Cash, който също изведе сайта си извън мрежата, за да намали потенциалните загуби за потребителите си. Revoke.Cash препоръчва да НЕ използвате сайтове, които се свързват с портфейл Web3.
За ваша информация, ето предварителен преглед на прозореца, съдържащ зловредния код:
Пример за разгърнат код (прозорецът се появява над действителната връзка): https://t.co/7J34ArOTLR
– OAK (@oak_en) December 14, 2023
Лидерът направи изявление за X, без да предоставя допълнителна информация:
Идентифицирахме и премахнахме злонамерена версия на Ledger Connect Kit.
В момента се прокарва истинска версия, която да замени зловредния файл. За момента не взаимодействайте с никакви dApps. Ще ви държим в течение с развитието на ситуацията.
Вашето устройство Ledger и…
– Ledger (@Ledger) December 14 2023