Команда Ledger объявила о появлении вредоносной версии Ledger Connect Kit

[News Bot]

 

Представители компании Ledger выпустили заявление о том, что им удалось выявить и удалить поддельный Ledger Connect Kit. Однако взлом кода кошелька поставил под удар крупные криптосервисы.

Код сервиса авторизации через криптокошелек Ledger, широко применяющегося в децентрализованных приложениях (dApp), подвергся хакерской атаке. Через некоторое время команда разработчиков кошелька заявила, что ей удалось устранить вредоносный код, 

 

«Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. Сейчас выпускается подлинная версия, которая заменит вредоносный файл. Пока не взаимодействуйте ни с какими децентрализованными приложениями», — предупредили разработчики.

 

Устройства Ledger и Ledger Live не были затронуты, заверили представители компании. Однако взлом, который длился более двух часов, повлиял на большинство популярных децентрализованных криптосервисов, таких как Curve, SushiSwap, Zapper и Revoke.cash.

 

 

Подробнее: https://bits.media/komanda-ledger-obyavila-o-poyavlenii-vredonosnoy-versii-ledger-connect-kit/

[Dmitrii Storm]

Никогда такого не было и вот опять!

 

Это насколько нужно быть тупоголовыми идиотами, чтоб  загружать JS из CDN, не блокировать версию загруженного JS и не проверять CDN на компрометацию?

 

Все dApps теперь под ударом. ВСЕ, понимаете?

 

Дебилы, бл!

[Helber]

2 минуты назад, Dmitrii Storm сказал:

Все dApps теперь под ударом. ВСЕ, понимаете?

В каком смысле все? Все, когда-либо связывавшиеся с леджером?

[Dmitrii Storm]

16 минут назад, Helber сказал:

В каком смысле все? Все, когда-либо связывавшиеся с леджером?

 

Мы не знаем, размер звездеца пока не ясен.

• Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger. 
• Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.
• В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.
• По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.
• Команда платформы Balancer предложила пользователям временно не использовать ее интерфейс, протокол для управления криптоактивами Revoke.cash отключил свой сайт.
• Специализирующаяся на кибербезопасности в Web3-индустрии компания BlockAid сообщила Blockworks, что обнаружила потерю проектами по меньшей мере $150 000 из-за внедрения вредоносного кода. Специалисты фирмы упомянули в списке потенциально пострадавших от атаки сайтов Sushi, Zapper, MetalSwap и EchoDEX.
• Многие комментаторы под сообщением Ledger с предварительными результатами расследования задались вопросом, каким образом у бывшего сотрудника оставался доступ к критически важному для безопасности аккаунту.

-----------

Я даже подумать боюсь, что мог сделать код «опустошителя кошелька», добавленный в библиотеку Ledger, за 5 часов, имея доступ ко всем смарт-контрактам всех dApps.

 

Вот это вот всё - лучшее напоминание всем, кто тут ожидал наступления светлого будущего от Web3. Вот такое будет будущее. Вот вам Web3 во всей своей красе.

 

Изменено 14 дек 2023, 18:17 пользователем Dmitrii Storm

[Mask]

Я никогда не любил эту джаву, но её постоянно везде используют с переибытком, на серверах они видите ли экономят.