Говорител на SushiSwap разкри, че широко използваният Web3 конектор е бил компрометиран, което е позволило вкарването на вреден код в различни dApps. Източници потвърдиха компрометирането в рамките на Ledger библиотеката, което позволява вмъкването на уязвим код, насочен към конкретни адреси на сметки.
Определяйки продължаващата уязвимост на Ledger, представителят на SushiSwap посочи системата за доставка на съдържание (CDN) на Ledger, за която се твърди, че е претърпяла пробив. Този пропуск е започнал със зареждане на JavaScript от компрометиран CDN, без да се осигури подходяща защита на заредения JS.
Главният изпълнителен директор на Ledger Паскал Готие обърна внимание на “атаката” срещу Ledger ConnectKit.
“Това е нещастен изолиран случай”, уточни Готие, добавяйки:
Това е напомняне, че сигурността не е статична и Ledger трябва непрекъснато да подобрява своите системи и процеси за сигурност. В тази област Ledger ще въведе по-силен контрол на безопасността, свързвайки конвейера за изграждане, който прилага строга сигурност на веригата за доставка на софтуер, с канала за дистрибуция на NPM.
Според информацията конекторът на Ledger, използван от многобройни dApps и управляван от Ledger, съдържал устройство за източване на портфейли, което създавало потенциални рискове за активите на потребителите. Макар че директно източване от сметката на потребителя може да не се случи, подканите от портфейл в браузъра (ММ) могат да предоставят неоторизиран достъп до активите.
Съветите на анализаторите на веригата призовават потребителите да избягват dApps, разчитащи на конектора на Ledger, като подчертават уязвимостта на connect-kit-loader. Всяко dApp, използващо LedgerHQ/connect-kit, беше отбелязано като уязвимо, което показва системна атака срещу множество dApps, а не изолирано събитие.
Хъдсън Джеймсън, вицепрезидент на Polygon Labs, подчерта важността на актуализациите за проектите, използващи библиотеката на Ledger, дори след като Ledger коригира грешния код. Тази актуализация е от решаващо значение преди безопасното използване на dApps, разчитащи на Web3 библиотеките на Ledger.
Признавайки проблема, Ledger потвърди премахването на злонамерената версия на Ledger Connect Kit. Те увериха, че ще въведат автентична версия, която да замени компрометирания файл, като същевременно отстранят уязвимостта в своя код.