Ledger’in bağlayıcı kütüphanesine yapılan saldırı, Ethereum Sanal Makine (EVM) ekosisteminin tamamını etkiliyor olabilir. binaen Linea ekibine Consensys’in sıfır bilgi derlemesi.
Bilgisayar korsanı, Ledger donanım cüzdanları ile çeşitli merkezi olmayan uygulamalar (DApp’ler) arasındaki iletişimi sağlamak için tasarlanan Ledger bağlayıcı kitaplığını hedef aldı. Cüzdan sağlayıcısı MetaMask da güvenlik olayından etkilendi.
Tüm web3 kullanıcılarına,
Bu güvenlik açığının tüm EVM ekosistemindeki birden fazla dapp’i etkilediği görülüyor. Sorun düzgün bir şekilde çözülene kadar herhangi bir dapp ile etkileşime geçmek çok risklidir.Orada güvende kalın! https://t.co/kFykLW4lWm
— Linea (@LineaBuild) 14 Aralık 2023
X’te (Twitter) yayınlanan bir gönderiye göre MetaMask, sorunu MetaMask Portföyünde düzeltmek için bir güncelleme yayınladı. Şirket, “Lütfen MetaMask Portföyünde herhangi bir işlem yapmadan önce MetaMask Uzantısında Blockaid özelliğinin açık olduğundan emin olun” dedi. uyardı X’te.
Etkilenen diğer protokoller arasında Zapper, SushiSwap, Phantom, Balancer ve Revoke.cash yer alıyor. Blockchain güvenlik firması CertiK, Cointelegraph’a, defter CDN’sini içe aktaran herhangi bir DApp’in otomatik olarak drenaj kodunu çalıştıracağını ve kurbanların destekledikleri herhangi bir cüzdan üzerinden bağlanmalarını sağlayacağını söyledi.
Ledger, kripto topluluğundaki birçok kişi tarafından kullanılan popüler bir donanım cüzdanıdır. Bağlayıcı kitaplığı, Ledger donanımı ile çeşitli DApp’ler arasında arayüz oluşturan kritik bir bileşendir. Bu kitaplığın güvenliği ihlal edilirse birçok EVM kullanıcısını ve işlemini etkileyebilir.
Saldırı, eski bir Ledger çalışanının kimlik avının yapılması ve NPMJS hesabının ele geçirilmesinin ardından başlatıldı. “Saldırgan, Ledger Connect Kit’in kötü amaçlı bir sürümünü yayınladı (1.1.5, 1.1.6 ve 1.1.7 sürümlerini etkiliyor). Kötü amaçlı kod, fonları bir hacker cüzdanına yönlendirmek için hileli bir WalletConnect projesi kullandı,” diye yazdı şirket X’e.
Ledger’in sorunu keşfetmesinden yaklaşık 40 dakika sonra bir düzeltme yayınlandı. Şirket, kullanıcıları Ledger Connect Kit’i tekrar kullanmadan önce 24 saat beklemeleri konusunda uyarıyor.
NİHAİ ZAMAN ÇİZELGİSİ VE MÜŞTERİLERE GÜNCELLEME:
16:49 CET:
Ledger Connect Kit’in orijinal 1.1.8 sürümü artık otomatik olarak yayılıyor. Ledger Connect Kit’i tekrar kullanana kadar 24 saat beklemenizi öneririz.
Soruşturma devam ediyor, işte bildiklerimiz…
— Defter (@Ledger) 14 Aralık 2023
Blockchain analiz platformu Lookonchain, bilgisayar korsanının yaklaşık 484.000 dolar değerindeki varlıkları çaldığını iddia etti ancak Ledger, güvenlik ihlalinin etkisinin daha büyük olabileceğini belirtti.
Dergi: John McAfee’nin ölümünden 2 yıl sonra dul Janice meteliksiz durumda ve cevaplara ihtiyacı var
kaynak: Cointelegraph by Ana Paula Pereira, https://cointelegraph.com/news/ledger-breach-possibly-affecting-whole-evm-ecosystem-linea
