Производителят на хардуерни портфейли Ledger предупреди потребителите да не се свързват с децентрализирани приложения (dapps), след като беше идентифицирана злонамерена версия на Ledger Connect Kit.
Говорител на Ledger заяви пред TCN, че: „Идентифицирахме и премахнахме злонамерена версия на Ledger Connect Kit. В момента се прокарва истинска версия, която да замени злонамерения файл. За момента не взаимодействайте с никакви dApps“. Говорителят добави, че устройствата на Ledger и нейното приложение Ledger Live не са били компрометирани и че фирмата „ще държи потребителите в течение с развитието на ситуацията“.
Разработчикът на софтуерни портфейли MetaMask също предупреди потребителите да „спрат да използват dapps“, когато се появи новината за атаката.
Компрометираната версия на Connect Kit, библиотека, която позволява на хардуерния портфейл Ledger да се свързва с dapps, беше идентифицирана за първи път от разработчици, публикуващи в Twitter.
Идентифицирахме и премахнахме злонамерена версия на Ledger Connect Kit.
В момента се прокарва истинска версия, която да замени зловредния файл. За момента не взаимодействайте с никакви dApps. Ще ви държим в течение с развитието на ситуацията.
Вашето устройство Ledger и…
– Ledger (@Ledger) December 14 2023
Web3 Фирмата за сигурност BlockAid съобщи, че „нападателят е инжектирал payload за източване на портфейл“ в пакета NPM на комплекта ledgerconnect, като добави, че са засегнати dapps, използващи версии 1.1.4 и по-високи на connect-kit на Ledger, включително Sushi.com и Hey.xyz.
Открихме потенциална атака по веригата за доставки на комплекта ledgerconnect
Атакуващият е инжектирал полезен товар за източване на портфейла в популярния пакет NPM.
Понастоящем това засяга няколко популярни dapps, включително, но не само https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14 2023
Техническият директор на SushiSwap Матю Лили обвини Ledger във „верига от ужасни грешки“, като обясни, че „често използван конектор web3 е бил компрометиран, което позволява инжектирането на зловреден код, засягащ множество dApps“.
Той добави, че потребителите трябва да избягват използването на каквито и да било dapps, „докато екипите им не потвърдят, че са намалили атаката“.
Хъдсън Джеймсън, отговарящ за връзките с разработчиците на ядрото на Етериум, обясни, че: „Библиотека, която се използва от много dapps и която се поддържа от Ledger, е била компрометирана и е бил добавен портфейл за източване“. Повтаряйки, че „в момента е рисковано да се използват dapps, ако не разбирате какви backend библиотеки използват“, Джеймсън добави, че „дори след като Ledger коригира лошия код в тяхната библиотека, проектите, които използват и разгръщат тази библиотека, ще трябва да актуализират нещата, преди да е безопасно да се използват dapps, които използват web3 библиотеките на Ledger.“
През последните месеци Ledger се сблъска с критики по отношение на сигурността си, като услугата Recover на фирмата, базирана на доброволни идентификатори, предизвика гнева на потребителите на криптовалути.
Услугата, която не е свързана с днешната атака, разделя семенната фраза на потребителя и я съхранява при трима отделни попечители, като изисква от потребителя да предостави паспорта си или националната си лична карта като документ за самоличност. Тъй като разгневените потребители нарекоха услугата „задна вратичка“, съоснователят на Ledger Ерик Ларчевек нарече пускането на услугата „пълен PR провал, но абсолютно не и технически“.
През ноември фалшиво приложение на Ledger в Microsoft App Store източи близо 1 милион долара от нищо неподозиращи клиенти, а през 2020 г. фирмата беше подложена на критики, след като беше хакната база данни с имейли на клиенти, като бяха компрометирани над един милион имейла на потребители.
