Verliezen gerapporteerd, gebruikers aangespoord voorzichtig te zijn
BlockAid, een cyberbeveiligingsbedrijf gespecialiseerd in Web3-beveiliging, maakte bekend dat er aanzienlijke verliezen van ongeveer $150.000 zijn geleden als gevolg van de integratie van de kwaadaardige code in live websites. Ledger verzekerde gebruikers echter dat zolang ze geen transacties uitvoeren, hun bezittingen veilig zijn.
Ido Ben-Natan, CEO van Ledger, benadrukte dat de exploit niet kon worden uitgevoerd zonder voorafgaande bevestiging van gebruikers, maar erkende dat veel websites getroffen waren en waarschuwde voor de mogelijke gevolgen voor gebruikers.
SushiSwap, een gedecentraliseerd uitwisselingsplatform, heeft het probleem op zijn platform aangepakt en het compromis in de Ledger-connector erkend, waardoor kwaadaardige code in verschillende gedecentraliseerde applicaties (dApps) zou kunnen worden geïnjecteerd.
Voorzorgsmaatregelen door Revoke.cash en Ledger
Als veiligheidsmaatregel heeft Revoke.cash, een service waarmee gebruikers de aan Web3-apps verleende mogelijkheden voor het ondertekenen van transacties kunnen terugvorderen, de front-end-activiteiten tijdelijk opgeschort om misleiding van gebruikers te voorkomen.
Ben-Natan waarschuwde specifiek tegen interacties met Revoke.cash, gezien de kwetsbaarheid voor de aanval. Het officiële account van Ledger bevestigde de potentiële aanvalsvector en verklaarde dat de kwaadaardige code sindsdien is geëlimineerd.
De nieuwe versie van Ledger’s software wordt momenteel verspreid en zal naar verwachting de dreiging volledig neutraliseren zodra deze wordt geactiveerd, afhankelijk van de caching van dApps van derden.
Op onze hoede en geïnformeerd blijven
Hoewel de kwaadaardige code pas onlangs is opgedoken en er alleen toe kan leiden dat geld wordt gestolen als er verdere actie wordt ondernomen, raden experts aan voorzichtig te zijn en geen crypto-webapps te gebruiken. WalletConnect, een veelgebruikte interface voor dApp-ontwikkelaars zonder directe integratie met Ledger, gaf ook een waarschuwing aan gebruikers.
Philip Costigan, hoofd Public Relations bij Ledger, drong er bij gebruikers op aan voorlopig de interactie met dApps te vermijden en verzekerde hen van regelmatige updates naarmate de situatie zich voordoet.
Bij eerdere incidenten, zoals de aanval op het SushiSwap-tokenverkoopplatform, verloren gebruikers ongeveer 865 ETH ($3 miljoen destijds en $2 miljoen momenteel). Bij deze aanvallen ging het om DNS-manipulatie om nietsvermoedende gebruikers om te leiden naar valse versies van echte platformwebsites, waardoor geld naar de aanvallers werd doorgestuurd.
Bijgewerkt op 14 december 2023 om 8:34 uur ET, 8:53 uur ET, 9:03 uur ET en 9:15 uur ET met aanvullende informatie en opmerkingen van Ledger en BlockAid.