Αναφερθείσες απώλειες, παροτρύνονται οι χρήστες να είναι προσεκτικοί
Η BlockAid, μια εταιρεία κυβερνοασφάλειας που ειδικεύεται στην ασφάλεια Web3, αποκάλυψε ότι έχουν σημειωθεί σημαντικές απώλειες περίπου 150.000 $ λόγω της ενσωμάτωσης του κακόβουλου κώδικα σε ζωντανούς ιστότοπους. Ωστόσο, το Ledger διαβεβαίωσε τους χρήστες ότι εφόσον απέχουν από τη διεξαγωγή συναλλαγών, τα περιουσιακά τους στοιχεία είναι ασφαλή.
Ο Ido Ben-Natan, Διευθύνων Σύμβουλος της Ledger, τόνισε ότι η εκμετάλλευση δεν μπορούσε να πραγματοποιηθεί χωρίς προηγούμενες επιβεβαιώσεις από τους χρήστες, αλλά αναγνώρισε ότι πολλοί ιστότοποι επηρεάστηκαν και προειδοποίησε για τον πιθανό αντίκτυπο στους χρήστες.
Η SushiSwap, μια αποκεντρωμένη πλατφόρμα ανταλλαγής, αντιμετώπισε το ζήτημα στην πλατφόρμα της και αναγνώρισε τον συμβιβασμό στην εφαρμογή σύνδεσης του Ledger, η οποία θα μπορούσε να επιτρέψει την εισαγωγή κακόβουλου κώδικα σε διάφορες αποκεντρωμένες εφαρμογές (dApps).
Προληπτικά μέτρα από την Revoke.cash and Ledger
Ως μέτρο ασφαλείας, το Revoke.cash, μια υπηρεσία που επιτρέπει στους χρήστες να ανακτήσουν τις δυνατότητες υπογραφής συναλλαγών που έχουν παραχωρηθεί σε εφαρμογές Web3, ανέστειλε προσωρινά τις λειτουργίες του στο front-end για να αποτρέψει την εξαπάτηση των χρηστών.
Ο Ben-Natan προειδοποίησε συγκεκριμένα για αλληλεπιδράσεις με το Revoke.cash, δεδομένης της ευπάθειας του στην επίθεση. Ο επίσημος λογαριασμός του Ledger επιβεβαίωσε τον πιθανό φορέα επίθεσης και δήλωσε ότι ο κακόβουλος κώδικας έχει εξαλειφθεί από τότε.
Η νέα έκδοση του λογισμικού Ledger διαδίδεται αυτήν τη στιγμή και αναμένεται να εξουδετερώσει πλήρως την απειλή μόλις ενεργοποιηθεί, ανάλογα με την προσωρινή αποθήκευση dApps τρίτων.
Παραμένετε επιφυλακτικοί και ενημερωμένοι
Ενώ ο κακόβουλος κώδικας εμφανίστηκε πρόσφατα και μπορεί να οδηγήσει σε κλοπή χρημάτων μόνο εάν ληφθούν περαιτέρω μέτρα, οι ειδικοί συνιστούν να είστε προσεκτικοί και να αποφεύγετε τη χρήση εφαρμογών ιστού κρυπτογράφησης. Το WalletConnect, μια ευρέως χρησιμοποιούμενη διεπαφή για προγραμματιστές dApp χωρίς άμεση ενσωμάτωση με το Ledger, εξέδωσε επίσης μια προειδοποίηση στους χρήστες.
Ο Philip Costigan, Επικεφαλής Δημοσίων Σχέσεων στο Ledger, προέτρεψε τους χρήστες να αποφύγουν προς το παρόν την αλληλεπίδραση με οποιαδήποτε dApps και τους διαβεβαίωσε για τακτικές ενημερώσεις καθώς εξελίσσεται η κατάσταση.
Σε προηγούμενα περιστατικά, όπως η επίθεση της πλατφόρμας πώλησης διακριτικών SushiSwap, οι χρήστες έχασαν περίπου 865 ETH (3 εκατομμύρια $ τότε και 2 εκατομμύρια $ επί του παρόντος). Αυτές οι επιθέσεις περιλάμβαναν χειραγώγηση DNS για να ανακατευθύνουν ανυποψίαστους χρήστες σε πλαστές εκδόσεις γνήσιων ιστοτόπων πλατφόρμας, με αποτέλεσμα να ανακατευθύνονται τα κεφάλαια στους εισβολείς.
Ενημερώθηκε στις 14 Δεκεμβρίου 2023, στις 8:34 π.μ. ET, 8:53 π.μ. ET, 9:03 π.μ. ET και 9:15 π.μ. ET με πρόσθετες πληροφορίες και σχόλια από το Ledger και το BlockAid.