Разработчики просят клиентов быть осторожнее с децентрализованными приложениями.
Компания Ledger, популярный производитель аппаратных криптокошельков, предупредила своих клиентов об опасности использования dApps (децентрализованных приложений). Причиной стала обнаруженная атака на цепочку поставок.
Злоумышленники внедрили вредоносный javascript-код в библиотеку Для просмотра ссылки Войдиили Зарегистрируйся , которая позволяет web3-приложениям взаимодействовать с кошельками Ledger. Этот код автоматически похищал криптовалюту и NFT с подключенных к сервису счетов.
По данным компании, проблема была выявлена утром 14 декабря, после того как аккаунт Ledger на ресурсе NPMJS подвергся фишинговой атаке. Неизвестные опубликовали вредоносный аналог Connect Kit, затрагивающий версии 1.1.5, 1.1.6 и 1.1.7.
Зловредный javascript использовал уязвимость в сторонней библиотеке Wallet Connect, чтобы перенаправлять средства пользователей на счета хакеров. Разработчики удалили скомпрометированные версии Connect Kit и срочно выпустили новую — 1.1.8.
Однако опасность сохраняется для сторонних dApps, которые все еще работают на старых версиях. Пользователям рекомендуют воздержаться от использования этих приложений до решения проблемы.
Как заверили в Ledger, основное программное и аппаратное обеспечение не пострадало. Работоспособность самых популярных продуктов компании, Ledger Live и самих аппаратных криптокошельков, не была нарушена.
Тем не менее компания предупредила об активизации фишинговых атак. Пользователям советуют проявлять бдительность и ни при каких обстоятельствах не сообщать злоумышленникам секретную фразу из 24 слов.
По информации блокчейн -компании Для просмотра ссылки Войдиили Зарегистрируйся , компрометация библиотеки Ledger началась еще с версии 1.1.5. Тогда преступники добавили в код текстовое сообщение в качестве проверки.
А в версиях 1.1.6 и 1.1.7 уже содержался хорошо замаскированный Для просмотра ссылки Войдиили Зарегистрируйся . Анализ этого скрипта показал, что он также пытался похитить криптовалюту и NFT из таких сервисов, как Coinbase, Trust Wallet и MetaMask.
Расследование инцидента все еще продолжается. Пока не установлены масштабы ущерба, хотя поступали сообщения о хищении порядка 680 000 долларов. Компания Ledger уже предоставила адреса кошельков злоумышленников, а команда Tether заморозила часть похищенных средств в USDT.
Компания Ledger, популярный производитель аппаратных криптокошельков, предупредила своих клиентов об опасности использования dApps (децентрализованных приложений). Причиной стала обнаруженная атака на цепочку поставок.
Злоумышленники внедрили вредоносный javascript-код в библиотеку Для просмотра ссылки Войди
По данным компании, проблема была выявлена утром 14 декабря, после того как аккаунт Ledger на ресурсе NPMJS подвергся фишинговой атаке. Неизвестные опубликовали вредоносный аналог Connect Kit, затрагивающий версии 1.1.5, 1.1.6 и 1.1.7.
Зловредный javascript использовал уязвимость в сторонней библиотеке Wallet Connect, чтобы перенаправлять средства пользователей на счета хакеров. Разработчики удалили скомпрометированные версии Connect Kit и срочно выпустили новую — 1.1.8.
Однако опасность сохраняется для сторонних dApps, которые все еще работают на старых версиях. Пользователям рекомендуют воздержаться от использования этих приложений до решения проблемы.
Как заверили в Ledger, основное программное и аппаратное обеспечение не пострадало. Работоспособность самых популярных продуктов компании, Ledger Live и самих аппаратных криптокошельков, не была нарушена.
Тем не менее компания предупредила об активизации фишинговых атак. Пользователям советуют проявлять бдительность и ни при каких обстоятельствах не сообщать злоумышленникам секретную фразу из 24 слов.
По информации блокчейн -компании Для просмотра ссылки Войди
А в версиях 1.1.6 и 1.1.7 уже содержался хорошо замаскированный Для просмотра ссылки Войди
Расследование инцидента все еще продолжается. Пока не установлены масштабы ущерба, хотя поступали сообщения о хищении порядка 680 000 долларов. Компания Ledger уже предоставила адреса кошельков злоумышленников, а команда Tether заморозила часть похищенных средств в USDT.
- Источник новости
- www.securitylab.ru