"
#хак #крипто #dapps #кошельки
Slow Mist: многие децентрализованные приложения (dApps) полагаются на отравленные библиотеки Ledger, поэтому будьте осторожны со всеми операциями, связанными с децентрализованными приложениями.
Ledger скомпрометирован. Не использовать кошелек до прояснения ситуации. Библиотека кошелька заменена на дрейнер"
Пока новости не видел на форуме, те кто пользуется этим, лучше не делайте) И переходите на более безопасные системы обменов и хранения.
С паблика такая инфа ходит:
"
Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах
Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.
Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю , где расположен импорт в самой библиотеке
Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)"
Платформа кибербезопасности Hacken подтверждает компрометацию интерфейсов SushiSwap, Zapper и RevokeCash
Берегите себя и не взаимодействуйте с этими платформами!
Объяснение Ledger Library Exploit:
Что случилось?
Библиотека, которую использовали многие dApps и которая поддерживалась Ledger, была скомпрометирована. Добавили дрейнер.
Что мне делать как обычному пользователю?
На данный момент не взаимодействуйте с какими-либо интерфейсами децентрализованных приложений на веб-сайтах. Это постоянная ситуация, и в настоящее время рискованно использовать децентрализованные приложения, если вы не понимаете, какие серверные библиотеки они используют.
Как могут украсть ваши деньги?
Если вы посетите веб-сайт, ваши средства не будут автоматически украдены. Однако из вашего кошелька браузера (например, MM) будут отображаться запросы, которые при подтверждении отправят ваши активы злоумышленникам.
Леджер знает об этом?
Да, они знают о проблеме и работают над её решением.
Примечание. Даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновить все, прежде чем можно будет безопасно использовать децентрализованные приложения, использующие библиотеки Ledger web3.
UPD: 9999% всё так и есть, проверил сам лично заранее, прежде чем вкидывать это. Красивый ход однако у умельцев, кто это сделал))).
#хак #крипто #dapps #кошелькиSlow Mist: многие децентрализованные приложения (dApps) полагаются на отравленные библиотеки Ledger, поэтому будьте осторожны со всеми операциями, связанными с децентрализованными приложениями.
Ledger скомпрометирован. Не использовать кошелек до прояснения ситуации. Библиотека кошелька заменена на дрейнер"
Пока новости не видел на форуме, те кто пользуется этим, лучше не делайте) И переходите на более безопасные системы обменов и хранения.
С паблика такая инфа ходит:
"
Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах
Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.
Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю , где расположен импорт в самой библиотеке
Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)"
Платформа кибербезопасности Hacken подтверждает компрометацию интерфейсов SushiSwap, Zapper и RevokeCashБерегите себя и не взаимодействуйте с этими платформами!
Объяснение Ledger Library Exploit:
Что случилось?Библиотека, которую использовали многие dApps и которая поддерживалась Ledger, была скомпрометирована. Добавили дрейнер.
Что мне делать как обычному пользователю?На данный момент не взаимодействуйте с какими-либо интерфейсами децентрализованных приложений на веб-сайтах. Это постоянная ситуация, и в настоящее время рискованно использовать децентрализованные приложения, если вы не понимаете, какие серверные библиотеки они используют.
Как могут украсть ваши деньги?Если вы посетите веб-сайт, ваши средства не будут автоматически украдены. Однако из вашего кошелька браузера (например, MM) будут отображаться запросы, которые при подтверждении отправят ваши активы злоумышленникам.
Леджер знает об этом?Да, они знают о проблеме и работают над её решением.
Примечание. Даже после того, как Ledger исправит плохой код в своей библиотеке, проекты, использующие и развертывающие эту библиотеку, должны будут обновить все, прежде чем можно будет безопасно использовать децентрализованные приложения, использующие библиотеки Ledger web3.UPD: 9999% всё так и есть, проверил сам лично заранее, прежде чем вкидывать это. Красивый ход однако у умельцев, кто это сделал))).
Последнее редактирование:
