سازنده کیف پول سختافزاری میگوید این آسیبپذیری برطرف شده است، اما کاربران چندین dApp و پروتکل همچنان نسبت به استفاده از آنها تا زمانی که وضعیت روشنتر شود هشدار داده میشود.
ارسال شده در 14 دسامبر 2023 در ساعت 10:59 بامداد EST.
کاربران کریپتو صبح پنجشنبه شاهد تخلیه ارزهای دیجیتال به ارزش تقریبی 500,000 دلار از کیف پولهایشان بودند که دلیل آن به خطر افتادن کیت اتصال Ledger’s Connector ارائهدهنده کیف پول سختافزاری بود که امکان بهرهبرداری از بخش جلویی چندین برنامه غیرمتمرکز (dApps) را فراهم کرد.
این آسیبپذیری به دلیل اینکه کاربران برای تحت تأثیر قرار گرفتن نیازی به استفاده از کیف پول Ledger نداشتند و این واقعیت که روی dApps در چندین زنجیره تأثیر میگذاشت، هیاهوی گستردهای در جامعه رمزنگاری ایجاد کرد.
بر اساس رشته X ارائهدهنده کیف پول رمزنگاری، لجر از آن زمان نسخه مخرب Ledger Connect Kit را حذف کرده و چند ساعت پس از کشف این آسیبپذیری، آن را با «نسخه اصلی» جایگزین کرده است. + نوشته شده در در ساعت 8:31 صبح ET.
بر اساس Ledger’s جدول زمانی نهایی و به روز رسانی برای مشتریان، مهاجم توانست نسخه مخربی از Ledger Connect Kit را منتشر کند زیرا "امروز صبح CET، یک کارمند سابق قربانی یک حمله فیشینگ شد که به حساب NPMJS آنها دسترسی پیدا کرد." NPMJS یک رجیستری نرم افزاری برای زبان برنامه نویسی JavaScript است که فرایند را برای توسعه و استفاده مجدد از کد توسعه دهندگان ساده می کند.
این شرکت به کاربران یادآوری کرد که "همیشه معاملات خود را پاک کنید" و "اگر تفاوتی بین صفحه نمایش داده شده در دستگاه لجر و صفحه نمایش رایانه/تلفن شما وجود دارد، آن تراکنش را متوقف کنید. بلافاصله. مستقیما."
متیو لیلی ، مدیر ارشد فناوری در Sushiswap مبادله ای غیر متمرکز ، نوشت در صبح پنجشنبه در X که، "خوشبختانه، به لطف کمی شانس و تصادف در کشف این زودهنگام، به نظر می رسد آسیب در سراسر جهان محدود است."
به کاربران هشدار داده شد که همچنان محتاط باشند
لجر گفت: "نسخه اصلی جدید باید به زودی منتشر شود" و با این حال مردم همچنان به کاربران رمزارز هشدار می دهند که از dApps و پروتکل های رمزنگاری استفاده نکنند. یک مدیر انجمن Synthetix خواسته همه در اختلاف نظر از تعامل با Dapp Staking خودداری می کنند ، در حالی که Camelot "به شدت" توصیه می کند "هرکسی تا زمانی که اوضاع کاملاً روشن نشود ، با هیچ DAPP تعامل ندارند."
حتی پس از اینکه لجر کدهای بد موجود در کتابخانه خود را تصحیح کرد، پروژههایی که از آن کتابخانه استفاده میکنند و به کار میبرند، قبل از ایمن بودن استفاده از برنامههایی که از کتابخانههای Ledger web3 استفاده میکنند، باید موارد را بهروزرسانی کنند. نوشت Polygon Labs معاون هادسون جیمسون در X.
پایگاه کد کیت کانکتور Ledger حاوی خطی بود که می گفت "MinimalDrainValue" ، منبع آسیب پذیری اخیر است. این مصالحه بر کاربران فرانتاند تأثیر گذاشت زیرا اگر افراد با رابط برنامههای غیرمتمرکز مانند SushiSwap، Zapper و RevokeCash تعامل داشته باشند، یک پنجره مخرب ظاهر می شود و هنگامی که کاربران کیف پول خود را به هم وصل کردند ، وجوه آنها تخلیه می شود.
🚨 کتابخانه دفتر تایید شد که به خطر افتاده و با یک آبچکان جایگزین شده است. منتظر بمانید تا با هر داپی تعامل داشته باشید تا همه چیز واضح تر شود.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
- banteg (bantg) دسامبر 14، 2023
این اولین بار نیست که لجر با نگرانی های امنیتی روبرو شده است. به عنوان مثال، در سال 2020، لجر رنج یک حمله سایبری که منجر به افشای 1 میلیون آدرس ایمیل در RaidForums و همچنین اطلاعات شخصی دقیق مانند آدرس پستی، نام و شماره تلفن شد. دفتر امور عمومی ایالات متحده نام Raidforums "یک بازار محبوب برای مجرمان سایبری برای خرید و فروش داده های هک شده است." همچنین در سال 2020 ، یک ایمیل پشتیبانی از لجر را جعل می کند استفاده یک تکنیک فیشینگ برای مشتریان در تلاش برای سرقت داده های خود.
لجر همچنین در ماه مه 2023 هنگامی که اعلام کرد ، به دلیل سیاست های ایمنی خود با انتقاد روبرو شد قابلیت بازیابی کلیدهای خصوصی، که به مشتریان این امکان را می داد تا کلیدهای کیف پول لجر خود را بازیابی کنند اگر به عنوان مثال آنها را از دست بدهند.
در یک مصاحبه ویدیویی با Unchained، Ido Ben-Natan و Raz Niz، بنیانگذاران ارائه دهنده ابزارهای امنیتی رمزنگاری Blockaid، گفتند که حملات تخلیه کیف پول در فضای کریپتو رایج است.
نیز گفت: «ویژگی منحصر به فرد این حمله عمدتاً مربوط به گستردگی آن بود، زیرا مهاجم در اینجا توانسته بود باعث شود که حمله زنجیره تأمین که بر بسیاری از سایتهای مختلف در اکوسیستم تأثیر گذاشته بود، کاربران خود را تخلیه کند.»
بروزرسانی (14 دسامبر 2023 ، 13:50 EST): نظرات بنیانگذاران Blockaid را اضافه می کند.
به روز رسانی (14 دسامبر 2023، ساعت 12:49 بعد از ظهر به وقت شرقی): جزئیات مقدار برداشت شده از کیف پول را اضافه می کند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://unchainedcrypto.com/ledger-library-compromised-causing-confusion-and-panic-in-crypto-community/