Ledger heeft een waarschuwingsbericht uitgegeven en gebruikers dringend geadviseerd om geen verbinding te maken met gedecentraliseerde applicaties (dApps) nadat een kwaadaardige versie van de Ledger Connect Kit werd geïdentificeerd.
Een woordvoerder van Ledger verklaarde:
"We hebben een kwaadaardige versie van de Ledger Connect Kit geïdentificeerd en verwijderd. Op dit moment wordt een authentieke versie ingezet om het kwaadaardige bestand te vervangen. Vermijd voorlopig interactie met alle dApps."
De woordvoerder verzekerde gebruikers ervan dat toestellen van Ledger en de Ledger Live app niet waren gecompromitteerd en benadrukte dat het bedrijf gebruikers op de hoogte zou houden naarmate de situatie zich ontwikkelde.
Als reactie op de aanval adviseerde ook de software wallet ontwikkelaar MetaMask gebruikers om "te stoppen met het gebruik van dApps".
@Ledger you might want to take a look at this...
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Suspect code is being loaded from here:https://t.co/YovtdQRZBL
De gecompromitteerde versie van de Connect Kit, een bibliotheek die de verbinding tussen de Ledger hardware wallet en dApps mogelijk maakt, werd aanvankelijk geïdentificeerd door ontwikkelaars op X. Het web3 beveiligingsbedrijf BlockAid meldde dat de aanvaller een payload voor het leeghalen van wallets injecteerde in het NPM-pakket van de Ledger Connect Kit, wat van invloed was op dApps die versies 1.1.4 en hoger van Ledger's Connect Kit gebruikten, waaronder Sushi.com en Hey.xyz.
🚨 We've detected a potential supply chain attack on ledgerconnect kit 🚨
— Blockaid (@blockaid_) December 14, 2023
The attacker injected a wallet draining payload into the popular NPM package.
This currently affects a couple of popular dapps including but not limited to https://t.co/2QJmKIGv9T
SushiSwap CTO Matthew Lilley bekritiseerde Ledger vanwege een "reeks verschrikkelijke blunders", waarbij hij benadrukte dat een veelgebruikte web3 connector was gecompromitteerd, wat leidde tot de injectie van kwaadaardige code in tal van dApps.
Ethereum core developer, Hudson Jameson, legde uit:
"Een bibliotheek die door veel dApps wordt gebruikt en wordt onderhouden door Ledger, is gecompromitteerd en er is een wallet drainer toegevoegd."
Jameson benadrukte het huidige risico van het gebruik van dApps, vooral voor gebruikers die niet bekend zijn met de back-end bibliotheken die ze gebruiken. Hij merkte op dat zelfs nadat Ledger de slechte code corrigeert, projecten die de gecompromitteerde bibliotheek gebruiken, moeten updaten voordat het veilig is om dApps te gebruiken die de web3 bibliotheken van Ledger gebruiken.
Ledger kreeg recentelijk kritiek op het gebied van beveiliging, waaronder zorgen over zijn vrijwillige op ID gebaseerde Recover service. Hoewel niet gerelateerd aan de recente aanval, is deze dienst bekritiseerd omdat deze de zin van een gebruiker opsplitst en deze bij drie afzonderlijke bewaarders plaatst, waarbij gebruikers hun paspoort of nationale identiteitskaart als identificatie moeten verstrekken.
In eerdere incidenten werd Ledger bekritiseerd vanwege een frauduleuze app in de Microsoft App Store in november, wat resulteerde in het verlies van bijna $1 miljoen voor nietsvermoedende klanten. In 2020 kreeg het bedrijf kritiek nadat een klantendatabase was gehackt, waarbij meer dan een miljoen e-mailadressen van gebruikers werden gecompromitteerd.
Belangrijke beveiligingsupdate
In de nasleep van de nu vrijgegeven Ledger Connect Kit (LCK) versie 1.1.8 update, is het noodzakelijk voor gebruikers om op de hoogte te blijven en voorzichtig te zijn. De teams van Ledger en WalletConnect hebben met succes schadelijke code geneutraliseerd, waardoor ontwikkelaars gerustgesteld zijn over de veiligheid van hun activiteiten.
Voor retailgebruikers is echter een waarschuwing op zijn plaats. Als je eerder vandaag een website hebt bezocht, ongeacht of je een transactie hebt gestart, is er een potentieel risico dat in de cache van je browser achterblijft.
Indien mogelijk, overweeg dan om alle dApps de komende 48 uur niet te gebruiken. Hierdoor kunnen gegevens in de cache met betrekking tot de nu gedeactiveerde code op natuurlijke wijze verlopen, waardoor mogelijke risico's worden geminimaliseerd.
cryptostheen
