Повідомлено про втрати, користувачів закликають бути обережними
BlockAid, фірма з кібербезпеки, що спеціалізується на безпеці Web3, повідомила, що через інтеграцію шкідливого коду в активні веб-сайти було завдано значних збитків у розмірі приблизно 150 000 доларів США. Однак Леджер запевнив користувачів, що поки вони утримуються від проведення транзакцій, їхні активи в безпеці.
Ідо Бен-Натан, генеральний директор Ledger, підкреслив, що експлойт не можна здійснити без попереднього підтвердження користувача, але визнав, що багато веб-сайтів постраждали, і попередив про потенційний вплив на користувачів.
SushiSwap, платформа децентралізованого обміну, вирішила проблему на своїй платформі та визнала компрометацію в конекторі Ledger, що могло дозволити ін’єкцію шкідливого коду в різні децентралізовані програми (dApps).
Запобіжні заходи Revoke.cash і Ledger
З міркувань безпеки Revoke.cash, служба, яка дозволяє користувачам відновлювати можливості підпису транзакцій, надані додаткам Web3, тимчасово призупинила свою зовнішню роботу, щоб запобігти обману користувачів.
Бен-Натан особливо застеріг від взаємодії з Revoke.cash, враховуючи його вразливість до атаки. Офіційний обліковий запис Ledger підтвердив потенційний вектор атаки та заявив, що зловмисний код уже видалено.
Наразі розповсюджується нова версія програмного забезпечення Ledger, яка, як очікується, повністю нейтралізує загрозу після активації, залежно від кешування сторонніх dApps.
Залишайтеся обережними та поінформованими
Хоча зловмисний код нещодавно з’явився й може призвести до викрадення коштів лише за умови вжиття подальших дій, експерти рекомендують бути обережними та утримуватися від використання криптовалютних веб-програм. WalletConnect, широко використовуваний інтерфейс для розробників dApp без прямої інтеграції з Ledger, також випустив попередження для користувачів.
Філіп Костіган, керівник відділу зв’язків із громадськістю компанії Ledger, закликав користувачів поки що уникати взаємодії з будь-якими dApps і запевнив їх у регулярних оновленнях у міру розвитку ситуації.
У попередніх інцидентах, таких як атака на платформу продажу токенів SushiSwap, користувачі втратили приблизно 865 ETH (3 мільйони доларів на той час і 2 мільйони доларів зараз). Ці атаки включали маніпуляції DNS для перенаправлення нічого не підозрюючих користувачів на підроблені версії справжніх веб-сайтів платформи, що призводило до перенаправлення коштів зловмисникам.
Оновлено 14 грудня 2023 року о 8:34 ранку за східним часом, 8:53 ранку за східним часом, 9:03 ранку за східним часом і 9:15 ранку за східним часом із додатковою інформацією та коментарями від Ledger і BlockAid.