Kayıplar Bildirildi, Kullanıcılardan Dikkatli Olmaları İstendi
Web3 güvenliği konusunda uzmanlaşmış bir siber güvenlik firması olan BlockAid, kötü amaçlı kodun canlı web sitelerine entegrasyonu nedeniyle yaklaşık 150.000 ABD doları tutarında önemli bir kaybın meydana geldiğini açıkladı. Ancak Ledger, kullanıcılara işlem yapmaktan kaçındıkları sürece varlıklarının güvende olduğu konusunda güvence verdi.
Ledger CEO’su Ido Ben-Natan, bu istismarın önceden kullanıcı onayı olmadan gerçekleştirilemeyeceğini vurguladı ancak birçok web sitesinin etkilendiğini kabul etti ve bunun kullanıcılar üzerindeki potansiyel etkisi konusunda uyardı.
Merkezi olmayan bir takas platformu olan SushiSwap, platformundaki sorunu ele aldı ve Ledger’in konektöründeki, çeşitli merkezi olmayan uygulamalara (dApp’ler) kötü amaçlı kodların enjekte edilmesine olanak sağlayabilecek bir uzlaşmayı kabul etti.
Revoke.cash ve Ledger’ın Önlemleri
Kullanıcıların Web3 uygulamalarına verilen işlem imzalama özelliklerini geri almalarını sağlayan bir hizmet olan Revoke.cash, bir güvenlik önlemi olarak, kullanıcı aldatmasını önlemek için ön uç işlemlerini geçici olarak askıya aldı.
Ben-Natan, saldırıya karşı savunmasızlığı nedeniyle Revoke.cash ile etkileşimlere karşı özellikle uyarıda bulundu. Ledger’ın resmi hesabı, potansiyel saldırı vektörünü doğruladı ve kötü amaçlı kodun o zamandan beri ortadan kaldırıldığını belirtti.
Ledger yazılımının yeni sürümü şu anda yaygınlaştırılıyor ve etkinleştirildiğinde üçüncü taraf dApp’lerin önbelleğe alınmasına bağlı olarak tehdidi tamamen etkisiz hale getirmesi bekleniyor.
Tedbirli ve Bilgili Kalmak
Kötü amaçlı kod daha yeni ortaya çıktı ve yalnızca daha fazla önlem alınması durumunda fonların çalınmasına yol açsa da, uzmanlar dikkatli olunmasını ve kripto web uygulamalarını kullanmaktan kaçınılmasını öneriyor. Ledger ile doğrudan entegrasyonu olmayan, dApp geliştiricileri için yaygın olarak kullanılan bir arayüz olan WalletConnect de kullanıcılara bir uyarı yayınladı.
Ledger Halkla İlişkiler Müdürü Philip Costigan, kullanıcıları şimdilik herhangi bir dApp’le etkileşimde bulunmaktan kaçınmaya çağırdı ve durum geliştikçe onlara düzenli güncellemeler sağlanacağı güvencesini verdi.
SushiSwap token satış platformu saldırısı gibi önceki olaylarda kullanıcılar yaklaşık 865 ETH (o sırada 3 milyon dolar ve şu anda 2 milyon dolar) kaybetmişti. Bu saldırılar, şüphelenmeyen kullanıcıları orijinal platform web sitelerinin sahte sürümlerine yönlendirmek için DNS manipülasyonunu içeriyordu ve bu da fonların saldırganlara yönlendirilmesine yol açtı.
Ledger ve BlockAid’den ek bilgi ve yorumlarla 14 Aralık 2023’te 08:34 ET, 08:53 ET, 09:03 ET ve 09:15 ET’de güncellendi.