Krypto News: Blockchain-Firma Ledger bestätigt die Kompromittierung von Library ConnectKit

/>

Source: iStock/welcomia

Der Hardware-Wallet-Anbieter Ledger hat seine Nutzer/innen davor gewarnt, sich mit unterstützten dezentralen Anwendungen (dApps) zu verbinden, die seine Software nutzen, da sein Library ConnectKit kompromittiert wurde.

Wie Ledger auf seinem X-Handle (früher Twitter) mitteilte, wurde eine bösartige Version des Library ConnectKit identifiziert und aus dem Backend entfernt.

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.

Your Ledger device and…

— Ledger (@Ledger) December 14, 2023

Daher wird Nutzern dringend geraten, vorübergehend nicht mit dApps zu interagieren. Ledger versicherte jedoch, dass ihre Ledger-Geräte und Ledger Live-Apps von dem schädlichen Code nicht betroffen sind.

Die kompromittierte Bibliothek connectkit wurde zuerst von einem Entwickler auf X mit dem Benutzernamen @bantg entdeckt, der feststellte, dass das Backend der Ledger-Software mit einem Drainer infiziert war.

🚨 ledger library confirmed compromised and replaced with a drainer. wait out interacting with any dapps till things become clearer.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv

— banteg (@bantg) December 14, 2023

Der Abfluss wurde angeblich einem Content Delivery Network (CDN) hinzugefügt, in dem die Softwarebibliothek gehostet wurde.

Blockaid erklärte, dass ein Cyberangreifer einen “Wallet-entziehenden Payload in das beliebte NPM-Paket” einschleuste, was zu einer Kompromittierung von dApps führte, die die Versionen 1.14 und höher von Ledgers ConnectKit verwenden.

🚨 We’ve detected a potential supply chain attack on ledgerconnect kit 🚨
The attacker injected a wallet draining payload into the popular NPM package.
This currently affects a couple of popular dapps including but not limited to https://t.co/2QJmKIGv9T

— Blockaid (@blockaid_) December 14, 2023

Matthew Lilley, Chief Technology Officer (CTO) von Sush, gab außerdem bekannt, dass das LedgerHQ/connectkit JS von einem CDN-Konto lädt, das kompromittiert wurde. Infolgedessen wurde ein bösartiger JS-Code in mehrere DApps eingeschleust.

No, LedgerHQ/connect-kit loads JS from a CDN, their CDN account has been compromised which is injecting malicious JS into multiple dApps.

— I’m Software 🦇🔊 (@MatthewLilley) December 14, 2023

Blockchain-Projekte wie RevokeCash und Kyber Network haben den Vorfall bestätigt. RevokeCash hat daraufhin seine Website kurzzeitig gesperrt, das Problem aber inzwischen behoben, die ausgenutzte Abhängigkeit entfernt und seine Website wieder geöffnet.

⚠️⚠️⚠️⚠️⚠️⚠️
Warning: Multiple popular crypto applications that integrate with Ledger’s ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we’re investigating further. We recommend not using *any* crypto website…

— Revoke.cash (@RevokeCash) December 14, 2023

Das Projekt rät seinen Nutzern jedoch davon ab, ihre Krypto-Wallets für den Rest des Tages mit einem Blockchain-Protokoll zu verbinden.

Nach Behebung des Problems immer noch nicht sicher

Das Ledger-Protokoll hat den Einsatz authentischer Software bestätigt und arbeitet aktiv daran, die wallet-entziehende Nutzlast aus seinem CDN-Dienst zu entfernen.

Trotz dieser Bemühungen raten Branchenexperten den Krypto-Nutzern zur Vorsicht, wenn sie sich mit Web3-basierten Lösungen beschäftigen.

Ethereum-Kernentwickler Hudson Jameson erklärte, dass Krypto-Nutzer, die eine der zahlreichen dApps besuchen, die mit dem Ledger-Ökosystem verbunden sind, durch Browseraufforderungen wie Metamask ihre Krypto-Wallet-Daten preisgeben könnten.

Diese Schwachstelle birgt das Risiko, dass Assets kompromittiert werden. Um dieses Risiko zu minimieren, wird den Nutzern dringend empfohlen, nicht mit den betroffenen dApps zu interagieren, bis das Update veröffentlicht wird.

Ledger Library Exploit Explainer for Average Folks

What is going on with the recent alerts not to use dapps?

A library that is used by many dapps that is maintained by Ledger was compromised and a wallet drainer was added.

What do I do as a normal user?

Do not interact with… https://t.co/exre0QfykD

— Hudson Jameson (@hudsonjameson) December 14, 2023

Jameson betonte, dass auch nach der Entfernung des bösartigen Codes alle angeschlossenen dApps ihre Bibliotheken aktualisieren müssen, bevor sie als sicher für die Nutzung angesehen werden können.

Geben Sie Ihre E-Mail-Adresse für unseren kostenlosen Newsletter ein

Die wichtigsten Crypto News des Tages auf einem Blick!

Jetzt Anmelden This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Eine Quelle: cryptonews.com

admin
admin
Artikel: 10395

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge