Ledger behebt die Schwachstelle, nachdem mehrere DApps, die die Connector-Bibliothek verwenden, kompromittiert wurden

Update (14. Dezember um 14:45 Uhr UTC): Dieser Artikel wurde aktualisiert, um klarzustellen, dass Ledger das Problem angeblich behoben hat.

Das Frontend mehrerer dezentraler Anwendungen (DApps), die den Connector von Ledger verwenden, darunter Zapper, SushiSwap, Phantom, Balancer und Revoke.cash, wurde am 14. Dezember kompromittiert. Fast drei Stunden nach Entdeckung der Sicherheitslücke meldete Ledger, dass die bösartige Version von die Datei war gewesen ersetzt mit seiner Originalversion gegen 13:35 Uhr UTC.

Ledger warnt Benutzer, Transaktionen immer „klar zu signieren“ und fügt hinzu, dass die Adressen und die auf dem Ledger-Bildschirm angezeigten Informationen die einzigen echten Informationen seien. „Wenn es einen Unterschied zwischen dem auf Ihrem Ledger-Gerät und Ihrem Computer-/Telefonbildschirm angezeigten Bildschirm gibt, stoppen Sie diese Transaktion sofort.“

Matthew Lilley, Chief Technical Officer von SushiSwap, war einer der ersten, der das Problem meldete, und wies darauf hin, dass ein häufig verwendeter Web3-Connector kompromittiert wurde, wodurch Schadcode in zahlreiche DApps eingeschleust werden konnte. Der On-Chain-Analyst sagte, die Ledger-Bibliothek habe die Kompromittierung bestätigt, bei der der anfällige Code die Drainer-Kontoadresse eingefügt habe.

ROTER ALARM :

Interagieren Sie bis auf Weiteres nicht mit KEINEN dApps. Es scheint, dass ein häufig verwendeter Web3-Connector kompromittiert wurde, der die Einschleusung von Schadcode ermöglicht, der zahlreiche dApps betrifft.

– Ich bin Software (@MatthewLilley) 14. Dezember 2023

Lilley machte Ledger für die anhaltende Schwachstelle und Kompromittierung mehrerer DApps verantwortlich. Der Geschäftsführer behauptete, dass das Content-Delivery-Netzwerk von Ledger kompromittiert sei und JavaScript aus dem kompromittierten Netzwerk geladen worden sei.

Es scheint, als ob das NPM-Paket @ledgerhq/connect-kit von Ledger gehackt wurde, die letzte Veröffentlichung erfolgte vor 2 Stunden. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q

— Betrugsschnüffler | Web3 Anti-Scam (@realScamSniffer) 14. Dezember 2023

Ledger Connector ist eine Bibliothek, die von vielen DApps verwendet und von Ledger verwaltet wird. Es wurde ein Wallet-Drainer hinzugefügt, sodass das Abziehen von Vermögenswerten vom Konto eines Benutzers möglicherweise nicht von alleine erfolgt. Allerdings werden Eingabeaufforderungen von einem Browser-Wallet wie MetaMask angezeigt und könnten böswilligen Akteuren Zugriff auf die Assets verschaffen.

Lilley warnte Benutzer davor, DApps zu meiden, die den Ledger-Connector verwenden, und fügte hinzu, dass das „Connect-Kit“ ebenfalls anfällig sei und dass es sich nicht um einen einzelnen isolierten Angriff, sondern um einen groß angelegten Angriff auf mehrere DApps handele.

Die Schwachstelle im Ledger Connect Kit sollte nun behoben sein

Dies scheint ein reiner EVM-Exploit gewesen zu sein, aber wir können bestätigen, dass Phantom-Benutzer auf Dapps mit kompromittierten Frontends die richtigen Warnungen in unserer Transaktionsvorschau gesehen haben.

– Phantom (@phantom) 14. Dezember 2023

Hudson Jameson, Vizepräsident von Polygon Labs, sagte, selbst nachdem Ledger den fehlerhaften Code in seiner Bibliothek korrigiert habe, müssten Projekte, die die Bibliothek verwenden und bereitstellen, aktualisiert werden, bevor DApps sicher mit den Web3-Bibliotheken von Ledger verwendet werden könnten.

Es sieht so aus, als wären mehr als 610.000 US-Dollar verbraucht

Abtropffläche Kunde
0x658729879fca881d9526480b82ae00efc54b5c2d
Adresse der Abtropfgebühr
0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo

— ZachXBT (@zachxbt) 14. Dezember 2023

Ido Ben-Natan, Mitbegründer und CEO von Blockaid, sagte gegenüber Cointelegraph:

„Ledger-Benutzer sind nicht gefährdet, wenn sie keine Transaktionen durchführen. Es ist bei vorherigen Genehmigungen nicht ausnutzbar. Revoke.cash ist speziell betroffen, also interagieren Sie nicht damit. Die Zahl der betroffenen Fonds beläuft sich in den letzten zwei Stunden auf Hunderttausende Dollar. Viele Websites sind immer noch betroffen und die Benutzer sind betroffen.“

Verwandt: KyberSwap-Hacker verlangt vollständige Kontrolle über das Unternehmen Kyber

Ledger erkannte die Schwachstelle in seinem Code an und sagte, es habe „eine bösartige Version des Ledger Connect Kit entfernt“ und fügte hinzu, dass „eine echte Version jetzt gedrängt wird, um die bösartige Datei zu ersetzen.“

Wir haben eine schädliche Version des Ledger Connect Kit identifiziert und entfernt.

Eine Originalversion wird derzeit als Ersatz für die Schaddatei angeboten. Interagieren Sie im Moment nicht mit dApps. Wir werden Sie über die Entwicklung der Situation auf dem Laufenden halten.

Ihr Ledger-Gerät und…

– Hauptbuch (@Ledger) 14. Dezember 2023

Zeitschrift: HTX erneut für 30 Millionen US-Dollar gehackt, 100.000 Koreaner testen CBDC, Binance 2.0: Asia Express