Πολυάριθμες DApps ευάλωτες καθώς ο χάκερ εκμεταλλεύεται τη Ledger Connector Library

Στις 14 Δεκεμβρίου, πολλαπλές αποκεντρωμένες εφαρμογές (DApps) που χρησιμοποιούν το Ledger’s connector library, συμπεριλαμβανομένων γνωστών ονομάτων όπως οι Zapper, SushiSwap, Balancer και Revoke.cash, βρήκαν τα front ends τους εκτεθειμένα.

Η παραβίαση ήρθε στο φως όταν ο Mathew Lilley, ο Chief Technical Officer της SushiSwap, ανέφερε ένα περιστατικό ασφαλείας που αφορούσε έναν ευρέως χρησιμοποιούμενο σύνδεσμο Web3. Αυτή η ευπάθεια επέτρεπε την εισαγωγή κακόβουλου κώδικα σε διάφορες DApps. Ο παραβιασμένος κώδικας, που εντοπίστηκε μέσα στο Ledger library, εισήγαγε κρυφά τη διεύθυνση ενός λογαριασμού drainer.

Ο CTO της SushiSwap έσπευσε να επιρρίψει ευθύνες στο Ledger για το συνεχιζόμενο κενό ασφαλείας που επηρεάζει πολλαπλές DApps. Ισχυρίστηκε ότι το content delivery system (CDN) του Ledger είχε παραβιαστεί, ακολουθούμενο από μια σειρά ατυχημάτων. Αυτές περιλάμβαναν τη φόρτωση JavaScript από ένα παραβιασμένο CDN χωρίς να κλειδώνεται η έκδοση του φορτωμένου JS.

Το Ledger connector library είναι ένα θεμελιώδες στοιχείο που χρησιμοποιείται από πολυάριθμες DApps και συντηρείται από την ίδια το Ledger. Παρόλο που εισήχθη ένα wallet drainer, από μόνος του δεν μπορεί να προκαλέσει τη μη εξουσιοδοτημένη ανάληψη χρημάτων από το λογαριασμό ενός χρήστη. Ωστόσο, οι χρήστες των browser wallets, όπως το MetaMask, ενδέχεται να συναντήσουν προτροπές που θα μπορούσαν ενδεχομένως να χορηγήσουν σε κακόβουλους φορείς πρόσβαση στα περιουσιακά τους στοιχεία.

Οι On-chain αναλυτές εξέδωσαν αυστηρές προειδοποιήσεις προς τους χρήστες να αποφεύγουν οποιεσδήποτε εφαρμογές DApps που βασίζονται στον σύνδεσμο Ledger. Σημείωσαν επίσης ότι το connect-kit-loader, ένα κρίσιμο στοιχείο, ήταν επίσης εκτεθειμένο στην ευπάθεια. Ουσιαστικά, κάθε DApp που χρησιμοποιούσε το LedgerHQ/connect-kit κινδύνευε. Δεν επρόκειτο για μια ενιαία, απομονωμένη επίθεση- αντίθετα, αποτελούσε μια επίθεση μεγάλης κλίμακας που επηρέαζε πολλά DApp.

Ο Hudson Jameson, αντιπρόεδρος της Polygon Labs, προειδοποίησε ότι ακόμη και μετά τη διόρθωση του προβληματικού κώδικα στο Ledger library, τα έργα που χρησιμοποιούν και αναπτύσσουν τo library θα πρέπει να εφαρμόσουν ενημερώσεις πριν γίνει ασφαλής η συμμετοχή σε DApps που βασίζονται στις Ledger Web3 libraries.

Αναγνωρίζοντας το ζήτημα, το Ledger ανέλαβε γρήγορα δράση για την αντιμετώπιση της ευπάθειας στον κώδικά της. Ανακοίνωσαν την αφαίρεση της κακόβουλης έκδοσης του Ledger Connect Kit και προωθούν ενεργά μια γνήσια αντικατάσταση για να διασφαλίσουν την ασφάλεια των χρηστών τους και του ευρύτερου οικοσυστήματος DApp.

Για περισσότερα ενημερωμένα νέα, βρείτε μας στο Twitter και στις Ειδήσεις ή εγγραφείτε στο κανάλι μας στο YouTube .

Ποια είναι η γνώμη σας για το συγκεκριμένο θέμα; Αφήστε μας το σχόλιο σας από κάτω! Πάντα μας ενδιαφέρει η γνώμη σας!

Αρθρογράφος: Dimitrios Alexandridis