Експлойт Ledger загрожує DeFi; SUSHI каже: «Не взаємодійте з ЖОДНИМИ dApps»

Головний Технології директор Sushi попередив про використання всієї галузі, пов’язане з набором Ledger’s Connect Kit як децентралізовані Фінанси (DeFi) протокол був уражений зовнішнім експлойтом.

Ledger, Maker апаратних гаманців, надає Комплект підключення програмне забезпечення, яке використовує децентралізовані Фінанси протоколи, такі як Lido, Metamask і Coinbase, а також SUSHI для підключення децентралізовані програми (dapps) до своїх продуктів. Компрометуючи зовнішню частину веб-сайту чи програми, хакери можуть змінити функції, які бачать користувачі, і змусити їх ненавмисно надсилати готівку користувачам, а не своїм власним гаманцям.

«Не взаємодійте з ЖОДНИМИ dApps до подальшого повідомлення», — написав технічний директор SUSHI Метью Ліллі на X. «Схоже, що широко використовуваний конектор web3 зламано, що дозволяє впроваджувати шкідливий код, що впливає на численні dApps».

Читайте також: Експлойт Ledger вичерпав 484 тис. доларів США, покращений DeFi; Колишній співробітник, пов'язаний зі шкідливим кодом

Експлойт повідомляється пропонує користувачам підключити свої гаманці через спливаюче вікно, яке потім запускає засіб очищення токенів. Про проблеми також повідомлялося на інших веб-сайтах DeFi, зокрема Zapper і RevokeCash.

П'ять годин після злому, Леджер опублікував посмертний запис X. Було підтверджено, що колишній співробітник Ledger став жертвою фішингової атаки, яка дозволила хакеру вставити шкідливий код у Connect Kit Ledger. У ньому додається, що код тепер видалено, а емітент стейблкойнів Tether заморозив гаманець хакера.

«Ми виявили критичну проблему: конектор реєстру було зламано, що потенційно дозволяє ін’єкцію шкідливого коду, що впливає на різні dApps», SUSHI написали у заяві. «Якщо ви відкрили сторінку SUSHI і бачите неочікуване спливаюче вікно «Підключити гаманець», НЕ взаємодійте з ним і не підключайте свій гаманець».

На це звернув увагу ONE користувач X Леджера бібліотека була скомпрометована і замінено на дренаж жетонів.

У Ledger заявили, що «визначили та видалили шкідливу версію Ledger Connect Kit».

«Справжня версія зараз просувається, щоб замінити шкідливий файл», — сказав Леджер. «На даний момент не взаємодійте з будь-якими програмами dApps. Ми KEEP інформувати вас про розвиток ситуації. Ваш пристрій Ledger і Ledger Live не були скомпрометовані».

ОНОВЛЕННЯ (14 грудня, 13:23 UTC): Додає контекст у всьому.

ОНОВЛЕННЯ (14 грудня, 14:49 UTC): Додає виписку з Ledger.

ОНОВЛЕННЯ (14 грудня, 15:00 UTC): Переписує заголовок; зміни головного фото.

ОНОВЛЕННЯ (14 грудня, 15:58 UTC): Додає виписку з Ledger.