Ledger-Hacker nutzt Web3-Apps aus und verschlingt über 484.000 US-Dollar in hinterhältigen Plänen
Summary:
Am 14. Dezember gelang es einem Hacker, über 484.000 US-Dollar aus mehreren Web3-Apps abzuschöpfen, indem er Benutzer dazu brachte, bösartige Token-Transaktionen zu genehmigen. Der Hacker verschaffte sich Zugriff auf das Javascript-Konto eines ehemaligen Ledger-Mitarbeiters für den Node-Paketmanager und lud ein schädliches Update in das GitHub-Repository von Ledger Connect hoch, wodurch der bösartige Code in den Browsern der Benutzer verbreitet wurde. Mehrere Web3-Apps, darunter Zapper, SushiSwap, Phantom, Balancer und Revoke.cash, wurden infiziert. Das Cyvers-Team vermutet, dass der schädliche Code es dem Hacker wahrscheinlich ermöglichte, Transaktionen innerhalb der Benutzer-Wallets zu ändern, was zu fehlerhaften Genehmigungen führte. Das Team betonte, wie wichtig es ist, jede Transaktionsbestätigungsnachricht zu überprüfen, um solchen Angriffen zu entgehen.
Am 14. Dezember gelang es einem Hacker, der als "Ledger-Hacker" identifiziert wurde, mindestens 484.000 US-Dollar aus einer Reihe von Web3-Anwendungen anzuhäufen, indem er Benutzer dazu verleitete, böswillige Token-Genehmigungen zu genehmigen. Der Angriff, der von Cyvers, einem Team für Blockchain-Sicherheitsplattformen, unterstützt wurde, fand in den Morgenstunden statt. Der Täter nutzte eine Phishing-Manipulation, um in den Computer eines ehemaligen Ledger-Mitarbeiters einzudringen und sich so den Zugang zum Javascript-Konto des Node-Paketmanagers zu sichern. Die bösartige Version von Ledger Connect Kit wurde bemerkt und ausgemerzt, wobei sofort eine legitime Version eingeführt wurde.
Nach dieser Invasion wurde ein nachteiliges Update für das GitHub-Repository von Ledger Connect hochgeladen. Ledger Connect ist ein häufiges Paket für Web3-Anwendungen. Einige dieser aktualisierten Apps verbreiten den bösartigen Code unwissentlich in den Browsern der Benutzer. Zapper, SushiSwap, Phantom, Balancer und Revoke.cash sowie andere Web3-Anwendungen wurden kontaminiert, wodurch der Eindringling nicht weniger als 484.000 US-Dollar abschöpfen konnte. Es ist wahrscheinlich, dass auch andere Apps betroffen waren, was Bedenken im gesamten Ethereum Virtual Machine-Ökosystem aufkommen lässt.
Der CEO von Cyvers, Deddy Lavid, der CTO Meir Dolev und der Blockchain-Analyst Hakal Unal spekulierten über die Realisierung des Angriffs und wiesen darauf hin, dass der Täter anscheinend schädlichen Code verwendete, um irreführende Transaktionsdetails in den Wallets der Benutzer zu demonstrieren und sie so dazu zu bringen, Transaktionen zu genehmigen, die sie nicht beabsichtigten.
Open-Source-"Connect-Kits" werden in der Regel von Entwicklern verwendet, die Web3-Apps erstellen, um die Verknüpfung der Apps mit Benutzer-Wallets zu erleichtern. Das Connect-Kit von Ledger ist eine solche Option. Nach der Erstellung einer App über den Node Package Manager enthält die App das Connect-Kit als Teil ihres Codes, der dann beim Besuch der Website in den Browser des Benutzers heruntergeladen wird.
Der feindliche Code, der in das Ledger Connect Kit eingebettet ist, hat den Hacker vermutlich in die Lage versetzt, Transaktionen zu ändern, die an die Wallet des Benutzers weitergeleitet wurden. Zum Beispiel könnte der schädliche Code dazu geführt haben, dass die Wallet des Benutzers eine Token-Bestätigungsanfrage mit der Adresse des Angreifers anstelle der der App offenlegte, was dazu führte, dass Benutzer unwissentlich Transaktionen bestätigten.
Das Cyvers-Team warnte davor, dass es sehr schwierig ist, dieser Art von Angriffen auszuweichen, da Wallets den Nutzern nicht durchgängig verständliche Informationen über ihre Handlungen liefern. Das Team empfahl, jede Transaktionsbestätigungsmeldung bei der Verwendung einer App sorgfältig zu prüfen, auch wenn die Transaktion in einem schwer verständlichen Code angezeigt wird.
Ihre Plattform, so Cyvers, ermöglicht es Unternehmen, festzustellen, ob bestimmte Adressen in Sicherheitsvorfälle verwickelt sind. Sie sind zwar der Meinung, dass zukünftige Web3-Tools potenziell in der Lage sind, solche Angriffe zu erkennen und zu verhindern, räumten aber ein, dass noch viel zu tun bleibt.
Published At
12/15/2023 2:30:22 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.