Kerugian Dilaporkan, Pengguna Digesa Berwaspada
BlockAid, firma keselamatan siber yang mengkhusus dalam keselamatan Web3, mendedahkan bahawa kerugian besar kira-kira $150,000 telah ditanggung akibat penyepaduan kod berniat jahat ke dalam tapak web langsung. Walau bagaimanapun, Ledger memberi jaminan kepada pengguna bahawa selagi mereka mengelak daripada melakukan transaksi, aset mereka selamat.
Ido Ben-Natan, Ketua Pegawai Eksekutif Ledger, menekankan bahawa eksploitasi tidak boleh dilakukan tanpa pengesahan pengguna terlebih dahulu, tetapi mengakui bahawa banyak tapak web terjejas dan memberi amaran tentang potensi kesan kepada pengguna.
SushiSwap, platform pertukaran terdesentralisasi, menangani isu tersebut pada platformnya dan mengakui kompromi dalam penyambung Ledger, yang boleh membolehkan suntikan kod hasad ke dalam pelbagai aplikasi terdesentralisasi (dApps).
Langkah Berjaga-jaga oleh Revoke.cash dan Ledger
Sebagai langkah keselamatan, Revoke.cash, perkhidmatan yang membolehkan pengguna menuntut semula keupayaan menandatangani transaksi yang diberikan kepada apl Web3, menggantung sementara operasi bahagian hadapannya untuk mengelakkan penipuan pengguna.
Ben-Natan secara khusus memberi amaran terhadap interaksi dengan Revoke.cash, memandangkan kelemahannya terhadap serangan itu. Akaun rasmi Ledger mengesahkan vektor serangan yang berpotensi dan menyatakan bahawa kod hasad itu telah dihapuskan.
Versi baharu perisian Ledger kini sedang disebarkan dan dijangka meneutralkan ancaman sepenuhnya setelah diaktifkan, bergantung pada caching dApps pihak ketiga.
Kekal Berwaspada dan Bermaklumat
Walaupun kod hasad baru-baru ini muncul dan boleh mengakibatkan dana dicuri hanya jika tindakan selanjutnya diambil, pakar mengesyorkan supaya berhati-hati dan mengelak daripada menggunakan aplikasi web crypto. WalletConnect, antara muka yang digunakan secara meluas untuk pembangun dApp tanpa penyepaduan langsung dengan Ledger, turut mengeluarkan amaran kepada pengguna.
Philip Costigan, Ketua Perhubungan Awam di Ledger, menggesa pengguna untuk mengelak daripada berinteraksi dengan mana-mana dApps buat masa ini dan memberi jaminan kepada mereka tentang kemas kini tetap apabila situasi itu berlaku.
Dalam insiden sebelumnya, seperti serangan platform jualan token SushiSwap, pengguna kehilangan kira-kira 865 ETH ($3 juta pada masa itu dan $2 juta pada masa ini). Serangan ini melibatkan manipulasi DNS untuk mengubah hala pengguna yang tidak curiga kepada versi palsu tapak web platform tulen, yang membawa kepada dana diubah hala kepada penyerang.
Dikemas kini pada 14 Disember 2023, pada 8:34 PG ET, 8:53 PG ET, 9:03 PG ET dan 9:15 PG ET dengan maklumat tambahan dan ulasan daripada Ledger dan BlockAid.