Понедельник, 23 декабря, 2024

Пользователи Ledger пострадали от взлома коннектора кошелька с dapps

Дата:

Поделиться публикацией:

Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы.

Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула. 

Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически». Однако разработчики не рекомендовали использовать ПО в течение суток.

Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger. 

Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.

В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.

Читать также:
Нормы продажи валютной выручки: «не так страшен чёрт, как его малютки»

Для поиска злоумышленника компания намерена обратиться в правоохранительные органы. 

В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign. В случае расхождения информации на дисплее кошелька и на экране компьютера или смартфона стоит немедленно прекратить операцию, подчеркнули разработчики.

По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.

https://twitter.com/MatthewLilley/status/1735275960662921638?ref_src=twsrc%5Etfw
https://twitter.com/CryptoLonghorn/status/1735327651135361264?ref_src=twsrc%5Etfw

В сообществе вспомнили прежние инциденты вроде утечки данных миллиона пользователей кошелька в 2020 году, которая привела к массированным фишинговым атакам, или обнаружения критических уязвимостей.

В мае команда Ledger представила спорный инструмент, позволяющий создать резервную копию сид-фразы для возобновления доступа к устройству Nano X. Решение вызвало критику со стороны многих участников индустрии, а продажи основного конкурента — Trezor — подскочили на 900%. 

Напомним,  в ноябре пользователи, скачавшие поддельное приложение Ledger Live, размещенное в Microsoft Store, потеряли $768 000 в цифровых активах.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Похожие статьи

LushSphere

LushSphere — бот в мессенджере Telegram, проект посвящен заработку с использования стратегии Pump&Dump. Как пользоваться LushSphere и какие...