Сегодня возникла критическая уязвимость в безопасности, которая затронула несколько децентрализованных приложений. Проблема была связана с библиотекой программного обеспечения от производителя аппаратного кошелька Ledger, которую использовали децентрализованные приложения.
Уязвимость позволяла внедрять вредоносный код на интерфейсах, что представляло значительный риск для пользователей и их активов. Такие проекты, как Kyber и RevokeCash, подтвердили, что уже отключили свои интерфейсы.
По имеющимся данным, программное обеспечение библиотеки было заменено вредоносным кодом, созданным хакерами и предназначенным для кражи активов.
В охранной фирме Blockaid описали это как «атаку на сеть» на Ledger Connect Kit и подсчитали, что за последние пару часов были потеряны криптоактивы на $150 000. Позднее обозначалась цифра в $484 000.
По словам технического директора Sushi Мэтью Лилли, проблема могла возникнуть из-за предполагаемого взлома конкретной сети доставки контента (CDN), в которой размещалась указанная библиотека программного обеспечения.
LedgerHQ/connect-kit загружает JS [JavaScript] из CDN, их учётная запись CDN была скомпрометирована, что приводит к внедрению вредоносного JS в несколько децентрализованных приложений, — написал Лилли, добавив, что любое dApp, использующее LedgerHQ/connect-kit, уязвимо.
Для исправления ситуации было оперативно выпущено обновление:
Мы обнаружили и удалили вредоносную версию Ledger Connect Kit. Сейчас готовится подлинная версия, которая заменит вредоносный файл, — заявили в Ledger.