「Dappsを使用しないでください!」Ledger Crypto WalletのConnect Kitはユーザーを露出させます
要約すると;
Ledger Crypto WalletのConnect Kitの脆弱性により、50万ドル以上のデジタル資産が盗まれました。
テザー ハッカーのウォレットを凍結して、ハッキングからの暗号資産の損失を最小限に抑えようとしました。
Ledger、Sushiswap、Blockaidは、暗号資産の脆弱性に対するユーザーへの指示を発表しました。
紹介
Ledgerは、暗号資産ハッキングの最新の被害者となり、50万ドル以上のデジタル資産を失いました。ハッキングイベントに対処するため、同社はさまざまな暗号資産プロジェクトと協力し、暗号資産の損失を最小限に抑えるための対策を取りました。
今日、私たちはレジャーハックの原因とその暗号通貨のユーザーや他の組織への影響を分析します。また、レジャーとそのパートナーが潜在的な損失を軽減する方法についても評価します。
Ledgerサプライチェーン攻撃
Ledger Connect Kitは、未知の暗号資産ハッカーによって侵害され、50万ドル以上の暗号資産が失われました。この事件の後、Ledgerは、デジタル資産のさらなる損失につながる可能性があるため、web3 dAppsに接続しないようユーザーに警告しました。
基本的に、攻撃者はJavascriptウォレットドレイナを「Ledger dApp Connect Kit」ライブラリに押し込み、NFTと暗号資産の盗難を引き起こしました。 Ledger dApps Connect キット web3アプリを可能にする LINK Ledgerハードウェアウォレットを使用して。
Ledgerウォレットを使用すると、NFTや暗号通貨を含むデジタル資産を購入、送金、保管することができます。これにより、ユーザーはデジタル資産をオフラインで保管し、攻撃の可能性を低減することができます。また、このウォレットは異なるブロックチェーン上に存在する多くのデジタル資産をサポートしています。 イーサリアム そして ビットコイン.
Ledgerは、パートナーシップを結んでいる様々なWeb3 dappsに接続しないようユーザーに警告した理由は、攻撃者がキットに悪意のあるコードであるウォレットドレイナーを含めたものを作成したためです。ただし、ウォレットドレイナーは、ユーザーが関連するdappsに彼/彼女のウォレットを接続した場合にのみ資産を盗むことができることに注意することが重要です。
According to a Githubのお知らせ 悪意のあるコードは、Connect Kitのバージョン1.1.5から1.1.7に影響を与えました。このコードは、侵害されたNPMアカウントを介して追加されました。そのため、ユーザーはLedgerがConnect Kitの安全なバージョンを復旧するまで、関連するweb3 dappsへの接続を停止しなければなりませんでした。
Ledgerは、その期間中に進行中だった暗号資産フィッシング攻撃についてユーザーに警告しました。同時に、既存の状況を悪用しようとする他の攻撃者が狙っている中、ユーザーには、シードフレーズやウォレットに関連する他の重要な情報を共有しないようにとアドバイスされました。
読むもの: 避けるべきトップの暗号資産詐欺
その後、Ledgerは接続キットへの攻撃に気付いた直後、ユーザーと連絡を取り、潜在的な危険について警告しました。例えば、同社は「Ledger Connect Kitの悪意のあるバージョンを特定し、削除しました。現在、悪意のあるファイルを置き換える正規のバージョンがプッシュされています。」と述べています。
現時点ではどのdAppsともやり取りしないでください。状況が進展するにつれて情報をお届けします。あなたのLedgerデバイスとLedger Liveは侵害されていませんでした。
その後、状況の更新が行われました。公開された情報によれば、「悪意のあるバージョンのファイルは、午後2時35分(CET)頃に本物のバージョンと置き換えられました。新しい本物のバージョンはまもなく広まる予定です。準備ができ次第、詳しい報告を提供します。」
関連ニュース: なぜ暗号資産の盗難が増加しているのか
さらに、「それまでの間、コミュニティには、常に取引にクリアサインをするよう注意喚起したいと思います。Ledger画面に表示される住所と情報が唯一の本物の情報であることを忘れないでください。
あなたのLedgerデバイスの画面とあなたのコンピューター/電話の画面に違いがある場合は、すぐにそのトランザクションを停止してください。
他の当事者の反応
Ledger WalletのConnect Kit暗号攻撃のニュースが出た後、Ledgerのパートナーは積極的にユーザーに警告し、さらなる盗難を防止しました。
Web3セキュリティ企業のBlockaidは、サプライチェーン攻撃について暗号資産コミュニティにアドバイスを行った最初のプレイヤーの一人でした。同社は、「Ledger Connect Kitに潜在的なサプライチェーン攻撃を検出しました。攻撃者は人気のあるNPMパッケージにウォレットを排出するペイロードを注入しました。」とツイートしました。
それに加え、「Ledgerのconnect-kitの1.1.4バージョン以上を使用するDappsは、 寿司.comとHey.xyzは影響を受けました。
イーサリアムのコア開発者連絡担当のハドソン・ジェームソンは、ハッキングされた暗号資産のユーザーに注意して進むように警告しました。 彼は言った「現在、バックエンドライブラリが何を使用しているかわからない場合、Dappsを使用するリスクがあります。Ledgerがライブラリ内の悪いコードを修正した後も、そのライブラリを使用して展開するプロジェクトは、Ledgerのweb3ライブラリを使用するDappsを安全に使用する前に更新する必要があります。」
Metamask ユーザーにもアドバイスしました Ledgerのクリプトエクスプロイトの後の進め方について。 「Ledgerユーザー:@blockaidは、Ledger Connect Kitへの攻撃を特定しました。dAppsの使用を中止してください。」と投稿しました。
さらに、以下のように述べています。「dAppsの使用を停止してください。MetaMaskユーザーの場合:MetaMaskポートフォリオでトランザクションを行う前に、MetaMask拡張機能でBlockaid機能がオンになっていることを確認してください。MetaMaskポートフォリオチームが対応し、今日中に修正を行います。」
Sushiswapは、暗号資産の攻撃に続いて、ユーザーに注意深い対策を取るよう警告しました。分散型アプリに接続しないようにアドバイスしました。Xに投稿し、「Sushiページを開いて予期しない「ウォレットに接続する」ポップアップが表示された場合、ウォレットを接続しないでください。」と述べました。
SushiのCTOであるMatthew Lilleyはより明確でした。彼はツイートしています。
今後の通知があるまで、どのdAppsとも対話しないでください。”Sushi、Metamask、Phantomなど、いくつかの分散型金融プロトコルがあります。 バランサー, Lido、Coinbase、ZapperはLedgerを使用しています 接続キット 分散型アプリケーションを製品にリンクするためのソフトウェア。
したがって、暗号資産ハッカーがウェブサイトやアプリケーションのフロントエンドにアクセスすると、ユーザーが見る機能を変更して資金を誤った宛先に desu。リーダーは、その脆弱性を認識してから約40分後にシステムを修正することができました。
Ledgerは、暗号資産の攻撃がどのように発生したかについての更新を提供しました。それによれば、元従業員が暗号資産フィッシング攻撃の被害者になり、ハッカーが悪意のあるコードをConnect Kitに挿入することができました。Tether、ステーブルコイン発行者は、獲得した資金を回収するために、ハッカーのデジタルウォレットを無効にしました。
続きを読む: トップ7の最高の暗号資産ウォレット
結論
最近の暗号通貨ハック事件により、悪意ある行為者が60万ドル以上のデジタル資産を盗み出しました。これは、フィッシング攻撃によるLedger dApps Connect Kitのハッキング事件に続くものです。ハッキング事件後、Ledger、Sushiswap、Blockaidを含むいくつかの暗号通貨企業は、Ledger dApps Connect Kitに接続された分散型アプリケーションの使用を避けるよう暗号通貨ユーザーに警告しました。
Ledgerウォレットに関するFAQ
Ledgerとは何ですか?
Ledgerは、デジタル資産を保存するために使用されるデバイスであるLedger暗号通貨ウォレットを所有する会社です。Ledgerエコシステムは、人々にデジタル資産を購入、保存、売却する機会を提供しています。
どの暗号資産ウォレットが最も安全ですか?
ほとんどの人々が、Trezorが現在市場で最も安全な暗号資産ウォレットであると信じています。それにもかかわらず、Ledgerのような他のハードウェア暗号資産ウォレットも非常に安全です。
あなたの暗号資産を安全に保つ方法は?
Gate.ioのような安全な暗号通貨取引所に保管することで、暗号資産を安全に保つことができます。同様に、TrezorやLedgerなどのコールドウォレットにデジタル資産を保管することもできます。
