Ledger, francouzská vlajková loď kryptohardwarových peněženek, je ve zmatku. V kódu jejího systému pro připojení k decentralizovanému financování (DeFi) byla objevena znepokojivá chyba, která pro společnost a její uživatele představuje vážné bezpečnostní problémy.
Zpět k hacku
Ledger's Connect Kit, používaný k integraci decentralizovaných aplikací (dapps) s produkty Ledger, byl terčem hackerského útoku. O incidentu původně informoval Matthew Lilley, technický ředitel společnosti Sushi, který varoval uživatele před kompromitací konektoru peněženky. Tato chyba umožnila vložení škodlivého kódu ovlivňujícího mnoho dapps. Útok vyvolal vyskakovací okno vyzývající uživatele, aby připojili svou peněženku, čímž se aktivoval mechanismus přesměrování tokenů.
ČERVENÝ POPLACH:
Až do odvolání nekomunikujte s ŽÁDNÝMI dApps. Zdá se, že byl ohrožen běžně používaný konektor web3, který umožňuje vkládání škodlivého kódu ovlivňujícího četné aplikace dApps.
– Jsem software (@MatthewLilley) 14. prosince 2023
Bezpečnostní chyba v Ledger's Connect Kit ovlivnila klíčové protokoly DeFi, jako jsou Zapper, SushiSwap, Phantom, Balancer a Revoke.cash, s potenciálními důsledky pro další podobné systémy. Podle Lookonchain, platformy pro analýzu blockchainu, hacker za útokem ukradl nejméně 4 334 etherů (ETH), což odpovídá téměř 484 000 $.
Hacker zaútočil na#Ledgera ukradl majetek ve výši přibližně 484 tisíc $#LedgerExploiterpřevedl 4 334 $ ETH na #AngelDrainer.
A#AngelDrainerv současné době také přijímá aktiva a drží aktiva v hodnotě 363 tisíc dolarů. https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE
– Lookonchain (@lookonchain) 14. prosince 2023
V důsledku tohoto narušení bezpečnosti byl zasažen také MetaMask, konkurent francouzského jednorožce. MetaMask si byl vědom naléhavosti a rychle zareagoval implementací kritické aktualizace pro svou platformu. Jeho technici ujistili, že uživatelé vybavení nejnovější verzí v2.121.0 by měli být schopni bezpečně obnovit své transakce, přičemž aktualizace probíhá automaticky.
Ledger s reakcí neotálel
Dvě hodiny po zjištění bezpečnostní chyby Ledger rychle jednal a kompromitovanou verzi svého konektoru nahradil zabezpečenou aktualizací. Společnost zároveň upozornila své uživatele na důležitost ověřování informací zobrazovaných při transakcích. Trvali na tom, že spolehlivá data jsou ta, která se objeví na obrazovce zařízení Ledger. Společnost také doporučila uživatelům, aby byli ostražití a zastavili jakoukoli transakci, pokud se informace zobrazené na jejich klíči liší od informací na jiných obrazovkách.
Více strachu než škody: Tether prostřednictvím svého vůdce Paola Ardoina oznámil, že zmrazil adresu vykořisťovatele.
Tether právě zmrazil adresu vykořisťovatele Ledgeru
– Paolo Ardoino (@paoloardoino) 14. prosince 2023
Morálka příběhu: I ten nejsilnější dub se ohýbá pod větrem.
