Уязвимость Ledger ставит под угрозу DeFi; SUSHI призывает «не взаимодействовать ни с какими dApps»

Главный Технологии директор Sushi предупредил об общеотраслевой уязвимости, связанной с Ledger's Connect Kit, поскольку децентрализованные ФинансыПротокол (DeFi) подвергся атаке с использованием внешнего интерфейса.

Ledger, Maker аппаратных кошельков, предоставляет Подключить комплект программное обеспечение, которое децентрализованные Финансы протоколы, такие как Lido, Metamask и Coinbase, наряду с SUSHI, используют для подключения децентрализованные приложения(dapps) к своим продуктам. Взламывая интерфейс веб-сайта или приложения, хакеры могут изменять функции, которые видят пользователи, и обманывать их, заставляя непреднамеренно отправлять деньги эксплуататорам, а не на свои собственные кошельки.

«Не взаимодействуйте ни с какими dApps до дальнейшего уведомления», — написал технический директор SUSHI Мэтью Лилли на X. «Похоже, что часто используемый Коннектор web3 был скомпрометирован, что позволяет внедрять вредоносный код, влияющий на многочисленные dApps».

Читать дальше: Эксплойт Ledger украл $484 тыс., DeFi оказался под угрозой; бывший сотрудник связан с вредоносным кодом

Сообщается, что эксплойтпредлагает пользователям подключить свои кошелькичерез всплывающее окно, которое затем запускает токен-дренажер. Проблемы также были зарегистрированы на других сайтах DeFi, включая Zapper и RevokeCash.

Пять часов после взлома, Ledgerопубликовал постмортем на X. Подтверждено, что бывший сотрудник Ledger стал жертвой фишинговой атаки, которая позволила хакеру внедрить вредоносный код в Connect Kit Ledger. В нем также говорится, что код теперь удален, а эмитент стейблкоинов Tether заморозил кошелек хакера.

«Мы выявили критическую проблему: коннектор реестра был скомпрометирован, что потенциально позволяет внедрить вредоносный код, влияющий на различные dApps»,SUSHI написал в заявлении. «Если у вас открыта страница «SUSHI» и вы видите неожиданное всплывающее окно «Подключить кошелек», НЕ взаимодействуйте с ней и НЕ подключайте свой кошелек».

ONE пользователь X указал, что Леджерабиблиотека была скомпрометированаи заменен на устройство для слива токенов.

Ledger заявила, что «выявила и удалила вредоносную версию Ledger Connect Kit».

«Сейчас для замены вредоносного файла выдвигается подлинная версия», — заявил Ledger. «Не взаимодействуйте ни с какими dApps на данный момент. Мы будем KEEP вас в курсе развития ситуации. Ваше устройство Ledger и Ledger Live не были скомпрометированы».

ОБНОВЛЕНИЕ (14 декабря, 13:23 UTC):Добавляет контекст по всему тексту.

ОБНОВЛЕНИЕ (14 декабря, 14:49 UTC):Добавляет выписку из Ledger.

ОБНОВЛЕНИЕ (14 декабря, 15:00 UTC):Переписывает заголовок; меняет главную фотографию.

ОБНОВЛЕНИЕ (14 декабря, 15:58 UTC):Добавляет выписку из Ledger.