토요일, 2월 24, 2024
알트코인커넥터 라이브러리를 사용하는 여러 DApp이 손상된 후 원장 패치 취약성

커넥터 라이브러리를 사용하는 여러 DApp이 손상된 후 원장 패치 취약성

업데이트(12월 14일 오후 2시 45분(UTC)): 이 기사는 Ledger가 문제를 해결한 것으로 알려졌음을 명확히 하기 위해 업데이트되었습니다.

Zapper, SushiSwap, Phantom, Balancer 및 Revoke.cash를 포함하여 Ledger의 커넥터를 사용하는 여러 분산형 애플리케이션(DApp)의 프런트 엔드가 12월 14일에 손상되었습니다. 보안 침해가 발견된 지 거의 3시간 후 Ledger는 다음의 악성 버전이 있다고 보고했습니다. 파일은 교체됨 UTC 오후 1시 35분경에 정품 버전이 제공됩니다.

Ledger는 사용자에게 “항상 명확한 서명” 거래를 경고하며 Ledger 화면에 표시되는 주소와 정보가 유일한 실제 정보라고 덧붙였습니다. “Ledger 기기에 표시된 화면과 컴퓨터/휴대폰 화면에 차이가 있는 경우 해당 거래를 중지하세요. 즉시.”

SushiSwap의 최고 기술 책임자인 Matthew Lilley는 일반적으로 사용되는 Web3 커넥터가 손상되어 수많은 DApp에 악성 코드가 주입될 수 있다는 점을 지적하면서 이 문제를 가장 먼저 보고했습니다. 온체인 분석가는 Ledger 라이브러리가 취약한 코드가 드레이너 계정 주소를 삽입한 손상을 확인했다고 말했습니다.

릴리 비난을 받다 여러 DApp에 대한 지속적인 취약점 및 손상에 대한 원장입니다. 해당 임원은 Ledger의 콘텐츠 전송 네트워크가 손상되었으며 손상된 네트워크에서 JavaScript가 로드되었다고 주장했습니다.

Ledger 커넥터는 많은 DApp에서 사용하고 Ledger에서 유지 관리하는 라이브러리입니다. 지갑 드레이너가 추가되어 사용자 계정의 자산이 저절로 유출되지 않을 수 있습니다. 그러나 MetaMask와 같은 브라우저 지갑의 메시지가 표시되고 악의적인 행위자가 자산에 액세스할 수 있도록 허용할 수 있습니다.

릴리 경고했다 사용자는 Ledger 커넥터를 사용하는 DApp을 피하고 “connect-kit”도 취약하며 이는 단일 격리 공격이 아니라 여러 DApp에 대한 대규모 공격이라고 덧붙였습니다.

Polygon Labs 부사장 허드슨 제임슨 말했다 Ledger가 라이브러리의 잘못된 코드를 수정한 후에도 Ledger의 Web3 라이브러리를 사용하여 DApp을 안전하게 사용하려면 라이브러리를 사용하고 배포하는 프로젝트를 업데이트해야 합니다.

Blockaid의 공동 창립자이자 CEO인 Ido Ben-Natan은 Cointelegraph에 다음과 같이 말했습니다.

“원장 사용자는 거래를 하지 않으면 위험에 처하지 않습니다. 사전 승인을 받은 경우에는 이용할 수 없습니다. Revoke.cash는 특히 영향을 받으므로 상호 작용하지 마십시오. 지난 2시간 동안 영향을 받은 자금의 수는 수십만 달러입니다. 많은 웹사이트가 여전히 영향을 받고 있으며 사용자도 타격을 받고 있습니다.”

Ledger는 코드의 취약점을 인정하고 “Ledger Connect Kit의 악성 버전을 제거했습니다”라고 밝혔으며 “현재 악성 파일을 대체하기 위해 정품 버전이 추진되고 있습니다”라고 덧붙였습니다.


RELATED ARTICLES

회신을 남겨주세요

귀하의 의견을 입력하십시오!
여기에 이름을 입력하십시오.

가장 인기 있는