Pinapanganib ng Ledger Exploit ang DeFi; Sinabi SUSHI na 'Huwag Makipag-ugnayan sa ANUMANG dApps'

Nagbabala ang Chief Technology Officer ng Sushi tungkol sa isang malawakang pagsasamantala sa industriya na may kaugnayan sa isang Ledger's Connect Kit bilang ang desentralisadong Finance (DeFi) protocol ay tinamaan ng isang front-end na pagsasamantala.

Nagbibigay ang Ledger, isang Maker ng mga wallet ng hardware Ikonekta ang Kit software na nagdesentralisa ng mga protocol sa Finance gaya ng Lido, Metamask at Coinbase, kasama ang SUSHI, na ginagamit upang kumonekta mga desentralisadong aplikasyon (dapps) sa mga produkto nito. Sa pamamagitan ng pagkompromiso sa harap na dulo ng isang website o application, maaaring baguhin ng mga hacker ang mga function na nakikita ng mga user at sila ay hindi sinasadyang magpadala ng pera sa mga mapagsamantala kaysa sa kanilang sariling mga wallet.

"Huwag makipag-ugnayan sa ANUMANG dApps hanggang sa karagdagang abiso," isinulat ng SUSHI CTO Matthew Lilley sa X. "Lumilitaw na ang isang karaniwang ginagamit nakompromiso ang web3 connector, na nagbibigay-daan para sa pag-iniksyon ng malisyosong code na nakakaapekto sa maraming dApps."

Read More: Ledger Exploit Drained $484K, Upended DeFi; Dating Staffer na Naka-link sa Malicious Code

Ang pagsasamantala raw hinihimok ang mga user na ikonekta ang kanilang mga wallet sa pamamagitan ng isang pop-up, na magti-trigger sa token drainer. Ang mga isyu ay naiulat din sa iba pang mga website ng DeFi, kabilang ang Zapper at RevokeCash.

Limang oras pagkatapos ng hack, Ledger naglathala ng post-mortem sa X. Kinumpirma nito na isang dating empleyado ng Ledger ang naging biktima ng phishing attack, na nagbigay-daan sa isang hacker na magpasok ng malisyosong code sa Ledger's Connect Kit. Idinagdag nito na ang code ay tinanggal na ngayon at ang stablecoin issuer Tether ay nag-freeze sa wallet ng hacker.

"Natukoy namin ang isang kritikal na isyu na ang ledger connector ay nakompromiso, na posibleng nagpapahintulot sa pag-iniksyon ng malisyosong code na nakakaapekto sa iba't ibang dApps," Sumulat SUSHI sa isang pahayag. "Kung binuksan mo ang pahina ng SUSHI at nakakita ng hindi inaasahang pop-up na 'Connect Wallet', HUWAG makipag-ugnayan o ikonekta ang iyong wallet."

Itinuro iyon ng ONE gumagamit ng X ng Ledger nakompromiso ang library at pinalitan ng token drainer.

Sinabi ng Ledger na "natukoy at inalis nito ang isang nakakahamak na bersyon ng Ledger Connect Kit."

"Ang isang tunay na bersyon ay itinutulak upang palitan ang malisyosong file ngayon," sabi ni Ledger. "Huwag makipag-ugnayan sa anumang dApps sa sandaling ito. KEEP namin sa iyo habang nagbabago ang sitwasyon. Hindi nakompromiso ang iyong Ledger device at Ledger Live."

I-UPDATE (Dis. 14, 13:23 UTC): Nagdaragdag ng konteksto sa kabuuan.

I-UPDATE (Dis. 14, 14:49 UTC): Nagdaragdag ng pahayag mula sa Ledger.

I-UPDATE (Dis. 14, 15:00 UTC): Isinulat muli ang headline; nagbabago ng lead na larawan.

I-UPDATE (Dis. 14, 15:58 UTC): Nagdaragdag ng pahayag mula sa Ledger.