Hardware wallet-leverandøren Ledger har advaret brugerne om at undlade at forbinde til nogen understøttede decentrale applikationer (dApps) ved hjælp af deres software på grund af et kompromis i deres bibliotek ConnectKit.
Ifølge oplysninger delt på deres tidligere Twitter-håndtag, er en ondsindet version af Library ConnectKit blevet identificeret og fjernet fra deres backend.
Brugerne anbefales derfor kraftigt at undgå at interagere med nogen dApps midlertidigt. Dog forsikrede Ledger brugerne om, at deres Ledger-enheder og Ledger Live-apps forbliver uberørt af den skadelige kode.
Det kompromitterede bibliotek ConnectKit blev først opdaget af en udvikler på X med brugernavnet @bantg, som angav, at bagenden af Ledger-softwaren var blevet inficeret med en “drainer”.
Draineren blev angiveligt tilføjet til et indholdsdistributionnetværk (CDN), der var vært for softwarebiblioteket.
Matthew Lilley, teknologidirektør (CTO) for Sush, afslørede også, at LedgerHQ/connectkit indlæser JS fra en CDN-konto, der var blevet kompromitteret. Som et resultat blev skadelig JS-kode indsprøjtet i flere dApps.
Blockchain-projekter som RevokeCash og Kyber Network har bekræftet hændelsen. RevokeCash suspenderede midlertidigt deres hjemmeside som svar, men har siden rettet problemet og genåbnet deres hjemmeside.
Ledger har bekræftet udrulningen af autentisk software og arbejder aktivt på at fjerne draineren fra deres CDN-tjeneste. Alligevel råder branchens eksperter til forsigtighed blandt kryptobrugere, når de bruger Web3-baserede løsninger.
Ethereum-kernedeveloper Hudson Jameson forklarede, at hvis kryptobrugere besøger nogen af de mange dApps, der er tilknyttet Ledger-økosystemet, kan browservarsler som Metamask afsløre detaljer om deres kryptotegnebog. Denne sårbarhed udgør en risiko for, at aktiver kompromitteres.
Jameson understregede, at selv efter fjernelsen af den skadelige kode, skal alle tilsluttede dApps opdatere deres biblioteker, før de kan betragtes som sikre at bruge.