Flere populære decentraliserede applikationer (dApps) er blevet kompromitteret efter et angreb mod en populær Web3-connector onsdag, bekræftede flere softwareeksperter torsdag.
“Interager ikke med NOGEN dApps, indtil der kommer yderligere besked,” advarede Matthew Lilley, CTO hos SushiSwap, i et indlæg til X. “Det ser ud til, at en almindeligt anvendt web3-connector er blevet kompromitteret, hvilket tillader indsættelse af ondsindet kode, der påvirker adskillige dApps.”
Den pågældende connector er “Ledger Connector,” et værktøj fra den populære pung-udbyder, der lader kryptobrugere tilslutte deres mobile tegnebøger til decentrale apps som børser og udlånsplatforme.
Derfor påvirker angrebet ikke kun én dApp, men enhver, der måtte bruge Ledgers tilslutningskit.
Kort tid efter bekræftede Ledger, at den ondsindede kode var identificeret og fjernet fra dens biblioteker, og at brugernes tegnebøger ikke var blevet kompromitteret.
“En ægte version bliver nu udskiftet for at erstatte den ondsindede fil,” udtalte firmaet.
Andre X-brugere som @bantg bekræftede i forvejen, at Ledgers softwarebibliotek var blevet kompromitteret og “udskiftet med en dræner,” med nye felter som “minimalDrainValue” indsat i koden.
På baggrund af hyppige nye opdateringer til databasen inden for de sidste par timer, troede tilskuere ikke, at det virkelige Ledger-firma stod bag.
Ifølge @officer_cia – en hacker-relations-ekspert for Web3-sikkerhedsfirmaet Remedy – var nogle berørte dApps inklusive Sushi, samt DeFi-dashboardet Zapper, og “tegnebogs-hygiejne”-tjenesten Revoke.cash.
Undgå dApps, Advarer Ekspert
Polygon Labs VP Hudson Jameson har anerkendt angrebet og advaret kryptobrugere om ikke at bruge nogen dApps. “Det er en igangværende situation, og det er risikabelt at bruge dApps i øjeblikket, hvis du ikke forstår, hvilke bagend-biblioteker de bruger,” sagde han.
Mens besøg på dApp-websteder alene ikke vil tillade brugernes midler at blive drænet, vil visse prompter fra browser-tegnebøger – såsom MetaMask – invitere brugere til at fejlagtigt fortabe deres aktiver til hackere.
“Gør Ledger kendskab til dette? Ja, det gør de, og de arbejder på det,” sagde Jameson. Ikke desto mindre vil projekter, der bruger Ledgers bibliotek, skulle “opdatere ting” selv efter, at Ledger har rettet eventuel ondsindet kode.
Dette er anden gang i år, at Ledger er blevet kritiseret for dårlige sikkerhedspraksisser.
I maj blev Ledger kritiseret for sin “Ledger Recover”-tegnebogstjeneste, der vakte bekymring for, at den medfølgende firmware-opdatering ville tillade brugernes private nøgler at blive udtrukket fra deres tegnebøger.
Efter kritik afkølede, debuterede firmaet produktet i slutningen af oktober.
