Một bộ thư viện được Ledger phát triển vừa bị tấn công, dẫn đến việc hàng loạt DApp tích hợp thư viện này có thể bị ảnh hưởng.
Thư viện của Ledger xuất hiện lỗ hổng có thể khiến hàng loạt DApp bị ảnh hưởng
Cộng đồng DeFi trên mạng xã hội X đang chia sẻ về lỗ hổng xuất hiện với bộ công cụ Connect-Kit do Ledger phát triển. Cụ thể, bộ công cụ này bị chèn mã độc, có thể tự động rút tài sản người dùng nếu xuất hiện bất cứ tương tác nào.
A really serious issue is currently unfolding across most hosted crypto frontends.
— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) December 14, 2023
There is a supply attack on a popular connector, the @Ledger connect-kit.
It has been infected with a drainer, which you can confirm by deobfuscating the code.
Be extra vigilant! pic.twitter.com/rwQBmUHMct
Đáng chú ý, hàng loạt dApps phổ biến như Hey, SushiSwap hay Zapper đang sử dụng bộ công cụ này, dẫn đến việc front-end của dự án có thể bị chiếm quyền và mã độc theo đó có thể ảnh hưởng đến người dùng. Kể cả trang web huỷ cấp quyền token là Revoke cũng nằm trong danh sách các website bị ảnh hưởng.
⚠️⚠️⚠️⚠️⚠️⚠️
— Revoke.cash (@RevokeCash) December 14, 2023
Warning: Multiple popular crypto applications that integrate with Ledger's ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we're investigating further. We recommend not using *any* crypto website…
Giám đốc Kỹ thuật của giao thức DeFi SushiSwap cũng đã lên tiếng xác nhận họ bị ảnh hưởng front-end bởi vụ tấn công nêu trên. Đồng thời, ông cũng nhanh chóng phát hiện ra nguyên nhân xuất phát từ "một trình kết nối web3 thường được sử dụng đã bị xâm phạm, cho phép kẻ tấn công tiêm mã độc ảnh hưởng đến nhiều dApp. Mã độc đó có thể bắt nguồn từ trang GitHub của nhà cung cấp ví phần cứng Ledger."
@Ledger you might want to take a look at this...
— I'm Software ?? (@MatthewLilley) December 14, 2023
Suspect code is being loaded from here:https://t.co/YovtdQRZBL
CTO SushiSwap còn nói thêm:
"Bất kỳ dApps nào sử dụng LedgerHQ/connect-kit đều dễ bị tấn công...Đây không phải là một cuộc tấn công đơn lẻ mà là một cuộc tấn công quy mô lớn vào nhiều dApp. Bộ công cụ kết nối dApps Ledger cho phép các nhà phát triển kết nối dApps của họ với ví phần cứng Ledger bằng cách sử dụng Tiện ích mở rộng Ledger hoặc Ledger Live".
Ông cũng kêu gọi người dùng "Không tương tác với bất kỳ dApp nào cho đến khi có thông báo mới".
ANY dApp which makes use of LedgerHQ/connect-kit is vulnerable. Don't use ANY dApps until further notice. This isn't a single isolated attack, it's a large-scale attack on multiple dApps. https://t.co/a3brXNQSx9
— I'm Software ?? (@MatthewLilley) December 14, 2023
Theo những dự đoán mới nhất, lỗ hổng này mới xuất hiện gần đây (cụ thể là vào 4:44 phút chiều 14/12). Do đó, người dùng không có bất cứ thao tác nào với DApp trong phạm vi 4-5 tiếng trở lại đây có thể được xem là an toàn.
1/2
— Igor Igamberdiev (@FrankResearcher) December 14, 2023
Ok, the first connect-kit version with the drainer (1.1.6) was added to the npm registry at 9:44am UTC
Better to check that you have not interacted with any UIs starting this time https://t.co/GRcHiyo3fm
Các tài khoản KOL chuyên về kỹ thuật cũng khuyến nghị người dùng không có bất cứ thao tác gì trong thời gian tới để giảm thiểu rủi ro bị rút tài sản. Đặc biệt là hoàn toàn tránh thao tác kết nối với các DApp bằng ví lạnh Ledger.
When interacting with Curve website, don't choose Ledger currently! Ledger support in many dApps downloads malicious code at the moment https://t.co/lS56puIgen pic.twitter.com/MRQd88jdfj
— Curve Finance (@CurveFinance) December 14, 2023
Cập nhật:
Tài khoản X của Ledger mới đây đã đăng tải dòng trạng thái thừa nhận lỗ hổng trên. Đội ngũ cho biết đang nhanh chóng cập nhật bản vã lỗi. Dù vậy, người dùng vẫn được khuyến cáo không kết nối và thao tác với bất cứ Dapp nào ở thời điểm hiện tại. Các phiên bản ví cứng của người dùng vẫn an toàn và không bị ảnh hưởng từ lỗ hổng thư viện này.
?We have identified and removed a malicious version of the Ledger Connect Kit. ?
— Ledger (@Ledger) December 14, 2023
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
Tài khoản ZachXBT vừa chia sẻ địa chỉ ví của kẻ tấn công, với ước tính 610.000 USD bị bòn rút thông qua lỗ hổng trên.
looks like $610K+ drained
— ZachXBT (@zachxbt) December 14, 2023
drainer customer
0x658729879fca881d9526480b82ae00efc54b5c2d
drainer fee address
0x412f10AAd96fD78da6736387e2C84931Ac20313f pic.twitter.com/Rld2BsKNDo
Tuy nhiên, rất nhanh sau đó Tether thông báo đã đóng băng khoản tiền có liên quan đến hacker tấn công trục lợi từ lỗ hổng trên.
Tether just froze the Ledger exploiter address
— Paolo Ardoino ? (@paoloardoino) December 14, 2023
Hiện tại, phiên bản 1.1.8 là bản vá mới nhất. Người dùng cần đảm bảo mình đã cập nhật lên phiên bản này trước khi có những tương tác mới với Ledger.
The ledger issue is now fixed.
— Mudit Gupta (@Mudit__Gupta) December 14, 2023
To make sure you don't have the malicious library cached, go to https://t.co/MSVgii7Ufk and ensure the version is 1.1.8.
If it's not, clear your cache. chrome- F12> Chrome Developer Tools > Application tab > Storage in left tree> Clear site data. pic.twitter.com/BtNUiO4vXF
Coin68 tổng hợp
Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!
