В настоящее время происходит масштабная атака, которая потенциально может затронуть все децентрализованные приложения (dApps), использующие набор для подключения Ledger. В настоящее время рекомендуется НЕ посещать веб-сайты, предлагающие функцию подключения кошелька Web3
DTD 15:18: По словам компании, обновление Ledger уже распространяется. Ledger также заявила, что «полный отчет» будет опубликован, как только он будет готов.
UPDATE 15:06: Banteg опубликовал сообщение, в котором говорится, что Ledger внедрил обновление и вредоносный код был удален. Однако по-прежнему рекомендуется не взаимодействовать с приложениями, позволяющими подключить Wallet, так как распространение может занять некоторое время.
UPDATE 15:03: По словам Игоря Игамбердиева, вредоносный код был внедрен сегодня утром, примерно в 8:44, поэтому вероятно (но не точно), что кошельки, потенциально подверженные риску, — это те, которые взаимодействовали с Ledger’s Connect Kit после этого времени.
UPDATE 14:57: По словам следователя ZachXBT, уже похищено более 610 000 долларов США. Согласно данным разведки Arkham Intelligence, адрес, указанный ZachXBT, предположительно отправил средства Angel Drainer, чей кошелек насчитывает более 1 миллиона долларов.
Происходит крупная атака
Это может быть одна из крупнейших атак, когда-либо происходивших в экосистеме Web3: похоже, что все децентрализованные приложения (dApps), использующие инструмент подключения Ledger, заражены, а их код заменен на функцию слива средств.
Первым о дефекте сообщил протокол Sushi, который по соображениям безопасности отключил свой сайт и сообщил нам, что проблема возникла в Ledger:
Срочное предупреждение о безопасности
Мы обнаружили критическую проблему, связанную с тем, что коннектор бухгалтерской книги был взломан, что потенциально позволяет внедрить вредоносный код, влияющий на различные dApp.
Если у вас открыта страница Sushi и вы видите неожиданное всплывающее окно ‘Connect Wallet’, НЕ… https://t.co/alGVbnPfHW
— Sushi.com (@SushiSwap) December 14, 2023
Мэтью Лилли, технический директор Sushi, заявил, что дефект действительно возник в компании Ledger, а точнее, в ее Connect Kit, который отвечает за управление взаимодействием с децентрализованными приложениями. Список потенциально затронутых приложений можно найти здесь. Вот все приложения, интегрирующие эту функциональность Ledger
ЛЮБОЕ dApp, использующее LedgerHQ/connect-kit, уязвимо. Не используйте ЛЮБЫЕ dApps до дальнейшего уведомления. Это не единичная атака, а масштабная атака на множество dApp. https://t.co/a3brXNQSx9
— I’m Software (@MatthewLilley) December 14, 2023
Эта атака тем более коварна, что она также заразила сайты, позволяющие отзывать разрешения, выданные смарт-контрактам, такие как Revoke.Cash, который также закрыл свой сайт, чтобы уменьшить возможные потери своих пользователей. Revoke.Cash рекомендует НЕ использовать сайты, подключающиеся к кошельку Web3.
Для справки, вот предварительный просмотр окна, содержащего вредоносный код:
Пример развернутого кода (окно появляется над реальным соединением): https://t.co/7J34ArOTLR
— OAK (@oak_en) December 14, 2023
Леджер выпустил заявление по X, не предоставив никакой дополнительной информации:
Мы обнаружили и удалили вредоносную версию Ledger Connect Kit.
В настоящее время на замену вредоносному файлу выкладывается подлинная версия. В данный момент не взаимодействуйте ни с какими dApps. Мы будем информировать вас о развитии ситуации.
Ваше устройство Ledger и…
— Ledger (@Ledger) December 14, 2023