L'exploit di Ledger mette a rischio la DeFi; SUSHI afferma "Non interagire con NESSUNA dApp"

Il Chief Tecnologie Officer di Sushi ha avvisato di un exploit a livello di settore correlato al Connect Kit di Ledger come Finanza decentralizzataIl protocollo (DeFi) è stato colpito da un exploit front-end.

Ledger, un Maker di portafogli hardware, fornisce Kit di collegamento software che i protocolli Finanza decentralizzati come Lido, Metamask e Coinbase, insieme a SUSHI, utilizzano per connettersi applicazioni decentralizzate(dapps) ai suoi prodotti. Compromettendo il front end di un sito web o di un'applicazione, gli hacker possono alterare le funzioni che gli utenti vedono e convincerli a inviare inavvertitamente denaro agli sfruttatori anziché ai loro portafogli.

"Non interagire con NESSUNA dApp fino a nuovo avviso", ha scritto il CTO SUSHI Matthew Lilley su X. "Sembra che un'app comunemente usata il connettore web3 è stato compromesso, che consente l'iniezione di codice dannoso che colpisce numerose dApp."

Continua a leggere: L'exploit di Ledger ha prosciugato 484.000 $, ha sconvolto la DeFi; un ex dipendente è collegato a codice dannoso

L'exploit, secondo quanto riferito,chiede agli utenti di collegare i loro portafoglitramite un pop-up, che poi attiva il token drainer. Sono stati segnalati problemi anche su altri siti web DeFi, tra cui Zapper e RevokeCash.

Cinque ore dopo l'attacco, Ledgerha pubblicato un post-mortem su X. Ha confermato che un ex dipendente Ledger è stato vittima di un attacco di phishing, che ha consentito a un hacker di inserire codice dannoso nel Connect Kit di Ledger. Aggiunge che il codice è stato ora rimosso e l'emittente di stablecoin Tether ha congelato il portafoglio dell'hacker.

"Abbiamo identificato un problema critico: il connettore del registro è stato compromesso, consentendo potenzialmente l'iniezione di codice dannoso che colpisce varie dApp",SUSHI ha scritto in una dichiarazione"Se hai aperto la pagina SUSHI e vedi un pop-up inaspettato "Connetti portafoglio", NON interagire o connettere il tuo portafoglio."

ONE utente X ha sottolineato che Libro mastrola biblioteca era stata compromessae sostituito con uno scolapiatti a gettoni.

Ledger ha affermato di aver "identificato e rimosso una versione dannosa del Ledger Connect Kit".

"Una versione autentica è stata spinta per sostituire il file dannoso ora", ha detto Ledger. "Non interagire con nessuna dApp per il momento. Ti KEEP informato sull'evolversi della situazione. Il tuo dispositivo Ledger e Ledger Live non sono stati compromessi".

AGGIORNAMENTO (14 dicembre, 13:23 UTC):Aggiunge contesto in tutto il testo.

AGGIORNAMENTO (14 dicembre, 14:49 UTC):Aggiunge un estratto conto dal libro mastro.

AGGIORNAMENTO (14 dicembre, 15:00 UTC):Riscrive il titolo; cambia la foto principale.

AGGIORNAMENTO (14 dicembre, 15:58 UTC):Aggiunge un estratto conto dal libro mastro.