НовостиПользователи Ledger пострадали от взлома коннектора кошелька с dapps

Пользователи Ledger пострадали от взлома коннектора кошелька с dapps

Разработчик аппаратных кошельков Ledger сообщил о компрометации библиотеки ПО, которую используют децентрализованные приложения. Хакер смог внедрять вредоносный код в их интерфейсы.

Согласно заявлению, 14 декабря примерно в 4:35 (МСК, 3:35 Киев) злоумышленник заменил подлинную версию Ledger Connect Kit на фейковую. Физические устройства пользователей и приложение Ledger Live атака не затронула. 

Команда удалила вредоносный файл, новая оригинальная версия 1.1.8 «распространяется автоматически». Однако разработчики не рекомендовали использовать ПО в течение суток.

Предварительное расследование показало, что хакер получил доступ к аккаунту в сервисе NPMJS через фишинговую атаку на экс-сотрудника Ledger. 

Размещенный вредоносный файл просуществовал около 5 часов, но промежуток, в котором происходила кража средств, команда оценила в 2 часа. Для вывода активов злоумышленник задействовал WalletConnect, который отключил кошелек скамера.

В Ledger не озвучили сумму ущерба, но заявили, что связались с пострадавшими клиентами для обсуждения компенсации.

Для поиска злоумышленника компания намерена обратиться в правоохранительные органы. 

В Ledger напомнили пользователям, что при совершении транзакции необходимо подписывать их с помощью Clear Sign. В случае расхождения информации на дисплее кошелька и на экране компьютера или смартфона стоит немедленно прекратить операцию, подчеркнули разработчики.

Читать также:
Сальвадор запустил пул для добычи биткоинов

По сообщению PeckShield, инцидент привел к компрометации фронтэндов Zapper и SushiSwap.

В сообществе вспомнили прежние инциденты вроде утечки данных миллиона пользователей кошелька в 2020 году, которая привела к массированным фишинговым атакам, или обнаружения критических уязвимостей.

В мае команда Ledger представила спорный инструмент, позволяющий создать резервную копию сид-фразы для возобновления доступа к устройству Nano X. Решение вызвало критику со стороны многих участников индустрии, а продажи основного конкурента — Trezor — подскочили на 900%. 

Напомним,  в ноябре пользователи, скачавшие поддельное приложение Ledger Live, размещенное в Microsoft Store, потеряли $768 000 в цифровых активах.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

ЭКСКЛЮЗИВНЫЙ КОНТЕНТ

НОВОЕ НА САЙТЕ

Похожие контент