Plusieurs DApp utilisant la bibliothèque de connecteurs Ledger compromises

Le frontal de plusieurs applications décentralisées (DApps) utilisant le connecteur de Ledger, notamment Zapper, Sushiswap, Balancer et Revoke.cash, a été compromis le 14 décembre.

Mathew Lilley, directeur technique de SushiSwap, a signalé qu'un connecteur Web3 couramment utilisé a été compromis, permettant à du code malveillant d'être injecté dans de nombreux DApps. L'analyste en chaîne a déclaré que la bibliothèque Ledger avait confirmé la compromission dans laquelle le code vulnérable insérait l'adresse du compte draineur.

ALERTE ROUGE :

N'interagissez avec AUCUNE dApp jusqu'à nouvel ordre. Il semble qu'un connecteur Web3 couramment utilisé ait été compromis, ce qui permet l'injection de code malveillant affectant de nombreuses dApps.

/p>

Le CTO de SushiSwap a blâmé Ledger pour la vulnérabilité et la compromission persistantes sur plusieurs DApps. Le CTO a affirmé que le système de diffusion de contenu (CDN) de Ledger avait été compromis, suivi d'une chaîne de terribles erreurs - où ils ont d'abord chargé un script Java à partir d'un CDN compromis sans verrouiller la version du JS chargé.

Le connecteur Ledger est une bibliothèque utilisée par de nombreux DApp et maintenue par Ledger. Un drain de portefeuille a été ajouté, de sorte que la vidange du compte d'un utilisateur peut ne pas se produire d'elle-même. Cependant, les invites d'un portefeuille de navigateur (comme MM) s'afficheront et pourraient permettre à des acteurs malveillants d'accéder aux actifs.

Les analystes de DAppsOn-chain ont averti les utilisateurs d'éviter tout DApp utilisant le connecteur Ledger, ajoutant que le connect-kit-loader est également vulnérable. Tout DApp qui utilise LedgerHQ/connect-kit est vulnérable. Les analystes en chaîne ont ajouté qu'il ne s'agit pas d'une attaque isolée, mais plutôt d'une attaque à grande échelle contre plusieurs dApps.

la dernière publication remonte à 2 heuresco/jFb6CThljS

/p>

Le vice-président de Polygon Labs, Hudson Jameson, a déclaré que même après que Ledger ait corrigé le mauvais code de sa bibliothèque, les projets utilisant et déployant cette bibliothèque devront mettre à jour les éléments avant de pouvoir utiliser en toute sécurité les DApp qui utilisent les bibliothèques Web3 de Ledger.

Ledger a reconnu la vulnérabilité de son code et a déclaré avoir supprimé une version malveillante du Ledger Connect Kit. Alors qu'une version authentique est désormais proposée pour remplacer le fichier malveillant.

Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit.

Une version authentique est désormais proposée pour remplacer le fichier malveillant. N'interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l'évolution de la situation.

Votre appareil Ledger et…

/p>

Il s'agit d'une histoire en développement et de plus amples informations seront ajoutées dès qu'elles seront disponibles.