V současné době probíhá rozsáhlý útok, který by mohl potenciálně postihnout všechny decentralizované aplikace (dApps) obsahující sadu pro připojení společnosti Ledger. V současné době se doporučuje NEnavštěvovat žádné webové stránky nabízející funkci Web3 wallet connect
DTD 15:18: Podle společnosti Ledger probíhá zavádění aktualizace. Společnost Ledger rovněž uvedla, že „úplná zpráva“ bude zveřejněna, jakmile bude připravena.
AKTUALIZACE 15:06: Společnost Banteg zveřejnila zprávu, že společnost Ledger provedla aktualizaci a že škodlivý kód byl odstraněn. Stále se však doporučuje neinteragovat s žádnou aplikací, která umožňuje připojení Peněženky, protože šíření může nějakou dobu trvat.
AKTUALIZACE 15:03: Podle Igora Igamberdieva byl škodlivý kód implementován dnes ráno kolem 8:44, takže je pravděpodobné (ale ne jisté), že potenciálně ohrožené peněženky jsou ty, které interagovaly s Ledger Connect Kitem po této době.
UPDATE 14:57: Podle vyšetřovatele on-chainu ZachXBT již bylo prostřednictvím této chyby odcizeno více než 610 000 USD. Podle údajů společnosti Arkham Intelligence se předpokládá, že na adresu, kterou uvádí ZachXBT, byly odeslány prostředky Angelovi Drainerovi, jehož peněženka čítá více než 1 milion dolarů.
Probíhá velký útok
Může se jednat o jeden z největších útoků, které kdy v ekosystému Web3 proběhly: zdá se, že všechny decentralizované aplikace (dApps) obsahující nástroj pro připojení Ledger jsou infikovány a jejich kód byl nahrazen funkcí pro odčerpávání peněz.
Na chybu poprvé upozornil protokol Sushi, který z bezpečnostních důvodů stáhl své stránky do offline režimu a který nás informuje, že problém pochází z Ledgeru:
Naléhavé bezpečnostní upozornění
Zjistili jsme kritický problém, při kterém byl napaden konektor Ledger, což potenciálně umožňuje injektáž škodlivého kódu ovlivňujícího různé dApps.
Pokud máte otevřenou stránku Sushi a zobrazí se vám neočekávané vyskakovací okno „Připojit peněženku“, NEDĚLEJTE TO… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Matthew Lilley, technický ředitel společnosti Sushi, uvedl, že chyba skutečně vznikla ve společnosti Ledger, konkrétně v její sadě Connect Kit, která je zodpovědná za řízení interakce s decentralizovanými aplikacemi. Seznam potenciálně postižených aplikací naleznete zde. Jedná se o všechny aplikace integrující tuto funkci společnosti Ledger
Zranitelná je
KAŽDÁ dApp, která využívá LedgerHQ/connect-kit. Až do odvolání nepoužívejte ŽÁDNÉ dAplikace. Nejedná se o ojedinělý izolovaný útok, ale o rozsáhlý útok na více dApps. https://t.co/a3brXNQSx9
– I’m Software (@MatthewLilley) December 14, 2023
Tento útok je o to zákeřnější, že infikoval také stránky, které umožňují odvolání oprávnění udělených chytrým kontraktům, jako je například Revoke.Cash, která rovněž odstavila své stránky, aby zmírnila případné ztráty svých uživatelů. Revoke.Cash doporučuje NEPOUŽÍVAT žádné stránky, které se připojují k peněžence Web3.
Pro informaci uvádíme náhled okna obsahujícího škodlivý kód:
Ukázka nasazeného kódu (okno se zobrazí nad skutečným připojením): https://t.co/7J34ArOTLR
– OAK (@oak_en) December 14, 2023
Vedení vydalo prohlášení o X bez poskytnutí dalších informací:
Identifikovali jsme a odstranili škodlivou verzi sady Ledger Connect Kit.
Nyní se prosazuje originální verze, která nahradí škodlivý soubor. V současné době neinteragujte s žádnými dApps. O vývoji situace vás budeme informovat.
Vaše zařízení Ledger a…
– Ledger (@Ledger) December 14 2023