Компания Ledger, популярный производитель аппаратных криптокошельков, предупредила своих клиентов об опасности использования dApps (децентрализованных приложений). Причиной стала обнаруженная атака на цепочку поставок.
Злоумышленники внедрили вредоносный javascript-код в библиотеку Ledger dApp Connect Kit , которая позволяет web3-приложениям взаимодействовать с кошельками Ledger. Этот код автоматически похищал криптовалюту и NFT с подключенных к сервису счетов.
По данным компании, проблема была выявлена утром 14 декабря, после того как аккаунт Ledger на ресурсе NPMJS подвергся фишинговой атаке. Неизвестные опубликовали вредоносный аналог Connect Kit, затрагивающий версии 1.1.5, 1.1.6 и 1.1.7.
Зловредный javascript использовал уязвимость в сторонней библиотеке Wallet Connect, чтобы перенаправлять средства пользователей на счета хакеров. Разработчики удалили скомпрометированные версии Connect Kit и срочно выпустили новую — 1.1.8.
Однако опасность сохраняется для сторонних dApps, которые все еще работают на старых версиях. Пользователям рекомендуют воздержаться от использования этих приложений до решения проблемы.
Как заверили в Ledger, основное программное и аппаратное обеспечение не пострадало. Работоспособность самых популярных продуктов компании, Ledger Live и самих аппаратных криптокошельков, не была нарушена.
Тем не менее компания предупредила об активизации фишинговых атак. Пользователям советуют проявлять бдительность и ни при каких обстоятельствах не сообщать злоумышленникам секретную фразу из 24 слов.
По информации
Источник: SecurityLab