Ledger Connector Schwachstelle erschüttert dApp Sicherheit
Am 14. Dezember tauchten Berichte über eine Sicherheitsverletzung auf, die mehrere dezentrale Anwendungen (dApps) betraf.
Ein Sprecher von SushiSwap teilte mit, dass ein weit verbreiteter Web3-Konnektor kompromittiert wurde, was die Einfügung von Schadcode in verschiedene dApps ermöglichte. Quellen bestätigten die Kompromittierung der Ledger-Bibliothek, die das Einfügen von anfälligem Code für bestimmte Kontoadressen ermöglichte.
Der Vertreter von SushiSwap gab Ledger die Schuld an der anhaltenden Schwachstelle und zeigte mit dem Finger auf das Content Delivery System (CDN) von Ledger, was angeblich eine Lücke aufwies. Dieser Fehler begann mit dem Laden von JavaScript von einem kompromittierten CDN, ohne den geladenen JS ordnungsgemäß zu sichern.
Der Ledger-Connector, der von zahlreichen dApps genutzt und von Ledger verwaltet wird, enthielt einen Wallet Drainer, der potenzielle Risiken für das Vermögen der Nutzer mit sich brachte. Während eine direkte Abbuchung vom Konto eines Nutzers nicht möglich ist, können Aufforderungen von einer Browser-Wallet (wie MM) unberechtigten Zugriff auf Vermögenswerte ermöglichen.
Empfehlungen von On-Chain-Analysten forderten die Nutzer auf, dApps zu vermeiden, die auf den Ledger-Connector basieren, und wiesen auf die Anfälligkeit des Connect-Kit-Loaders hin. Jede dApp, die LedgerHQ/connect-kit verwendet, wurde als anfällig eingestuft, was eher auf einen systemischen Angriff auf verschiedene dApps als auf ein isoliertes Ereignis hindeutet.
LESEN SIE WEITER: US Secret Service beschlägt $500,000 in Kryptowährungen bei südostasiatischem Betrug
Hudson Jameson, Vizepräsident von Polygon Labs, betonte die Wichtigkeit von Updates für Projekte, die die Bibliothek von Ledger nutzen, auch nachdem Ledger den fehlerhaften Code korrigiert hat. Dieses Update ist entscheidend für die sichere Nutzung von dApps, die sich auf die Web3-Bibliotheken von Ledger verlassen.
Als Reaktion auf das Problem bestätigte Ledger die Entfernung einer bösartigen Version des Ledger Connect Kit. Sie versicherten die Einführung einer authentischen Version, um die kompromittierte Datei zu ersetzen und gleichzeitig die Schwachstelle in ihrem Code zu beheben.