يستغل Ledger Hacker تطبيقات Web3 ، ويستنزف أكثر من 484,000 ألف دولار في مخطط متستر
Summary:
في 14 ديسمبر ، تمكن أحد المتسللين من استنزاف أكثر من 484000 دولار من العديد من تطبيقات Web3 عن طريق خداع المستخدمين للموافقة على معاملات رمزية ضارة. تمكن المتسلل من الوصول إلى حساب جافا سكريبت لمدير حزمة عقدة موظف سابق في Ledger وقام بتحميل تحديث ضار إلى GitHub repo الخاص ب Ledger Connect ، وبالتالي نشر الشفرة الضارة على متصفحات المستخدمين. أصيبت العديد من تطبيقات Web3 بما في ذلك Zapper و SushiSwap و Phantom و Balancer و Revoke.cash. يقترح فريق Cyvers أن الشفرة الضارة من المحتمل أن تمكن المتسلل من تعديل المعاملات داخل محافظ المستخدم ، مما أدى إلى موافقات خاطئة. وشدد الفريق على أهمية التدقيق في كل رسالة تأكيد معاملة لتجنب مثل هذه الهجمات.
في 14 ديسمبر ، تمكن أحد المتسللين الذين تم تحديدهم باسم "مخترق Ledger" من جمع ما لا يقل عن 484000 دولار من مجموعة من تطبيقات Web3 عن طريق خداع المستخدمين لفرض عقوبات على موافقات الرموز الخبيثة. وقع الهجوم ، المدعوم من Cyvers ، وهو فريق منصة أمان blockchain ، خلال ساعات الصباح. استخدم المخالف تلاعبا بالتصيد الاحتيالي لاختراق جهاز كمبيوتر موظف سابق في Ledger ، وبالتالي تأمين الدخول إلى حساب جافا سكريبت لمدير حزمة عقدة العامل. تمت ملاحظة الإصدار الضار من Ledger Connect Kit والقضاء عليه ، مع تقديم نسخة شرعية على الفور.
بعد هذا الغزو ، تم تحميل تحديث ضار ل GitHub repo الخاص ب Ledger Connect. Ledger Connect عبارة عن حزمة متكررة لتطبيقات Web3. تنشر بعض هذه التطبيقات التي تمت ترقيتها الشفرة الخبيثة عن غير قصد إلى متصفحات المستخدمين. تم تلوث Zapper و SushiSwap و Phantom و Balancer و Revoke.cash ، من بين تطبيقات Web3 الأخرى ، والتي تمكن الدخيل من خلالها من استنزاف ما لا يقل عن 484000 دولار. من المحتمل أن تكون التطبيقات الأخرى قد تأثرت أيضا ، مما أثار مخاوف عبر النظام البيئي الكامل ل Ethereum Virtual Machine.
وتكهن الرئيس التنفيذي لشركة Cyvers Deddy Lavid و CTO Meir Dolev ومحلل blockchain Hakal Unal بتحقيق الهجوم ، مشيرين إلى أنه يبدو أن الجاني استخدم رمزا ضارا لإثبات تفاصيل المعاملات الخادعة في محافظ المستخدمين ، وبالتالي خداعهم للموافقة على المعاملات التي لم يقصدوا القيام بها.
عادة ما يتم استخدام "مجموعات الاتصال" مفتوحة المصدر من قبل المطورين الذين ينشئون تطبيقات Web3 ، مما يسهل ربط التطبيقات بمحافظ المستخدم. تعد مجموعة توصيل Ledger أحد هذه الخيارات. بعد إنشاء التطبيق عبر Node Package Manager ، سيحتوي التطبيق على مجموعة الاتصال كجزء من التعليمات البرمجية الخاصة به ، والتي يتم تنزيلها بعد ذلك إلى متصفح المستخدم عند زيارة الموقع.
من المفترض أن الكود السلبي المضمن في Ledger Connect Kit قد مكن المتسلل من تعديل المعاملات التي يتم دفعها إلى محفظة المستخدم. على سبيل المثال ، ربما يكون الرمز الضار قد دفع محفظة المستخدم إلى الكشف عن طلب تأكيد الموافقة على الرمز المميز الذي يحمل عنوان المهاجم بدلا من عنوان التطبيق ، مما يؤدي بالمستخدمين إلى تأكيد المعاملات عن غير قصد.
حذر فريق Cyvers من أنه من الصعب للغاية التهرب من هذا النوع من الاعتداء لأن المحافظ لا تزود المستخدمين باستمرار بمعلومات مفهومة حول أفعالهم. نصح الفريق بالتدقيق الدقيق في كل رسالة تأكيد معاملة أثناء استخدام أحد التطبيقات ، حتى إذا تم عرض المعاملة في رمز يصعب فهمه.
تمكن منصتهم ، وفقا ل Cyvers ، الشركات من التأكد مما إذا كانت عناوين محددة متورطة في حوادث أمنية. في حين أنهم يرون أن أدوات Web3 المستقبلية قد تكون مجهزة للكشف عن مثل هذه الهجمات ومنعها ، فقد أقروا بأنه لا يزال هناك عمل كبير يتعين القيام به.
Published At
12/15/2023 2:30:22 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.