L'hacker Ledger sfrutta le app Web3, drenando oltre 484.000 dollari in uno schema subdolo
Summary:
Il 14 dicembre, un hacker è riuscito a drenare oltre 484.000 dollari da diverse app Web3 inducendo gli utenti ad approvare transazioni di token dannosi. L'hacker ha ottenuto l'accesso all'account javascript del gestore di pacchetti del nodo di un ex dipendente di Ledger e ha caricato un aggiornamento dannoso nel repository GitHub di Ledger Connect, diffondendo così il codice dannoso nei browser degli utenti. Diverse app Web3 tra cui Zapper, SushiSwap, Phantom, Balancer e Revoke.cash sono state infettate. Il team di Cyvers suggerisce che il codice dannoso ha probabilmente consentito all'hacker di modificare le transazioni all'interno dei portafogli degli utenti, con conseguenti approvazioni errate. Il team ha sottolineato l'importanza di esaminare ogni messaggio di conferma della transazione per eludere tali attacchi.
Il 14 dicembre, un hacker identificato come "Ledger hacker" è riuscito ad accumulare un minimo di 484.000 dollari da una serie di applicazioni Web3 inducendo gli utenti a sanzionare le approvazioni di token malefici. L'assalto, sostenuto da Cyvers, un team di piattaforme di sicurezza blockchain, è avvenuto durante le ore mattutine. Il malfattore ha utilizzato una manipolazione di phishing per violare il computer di un ex dipendente di Ledger, assicurandosi così l'accesso all'account javascript del gestore di pacchetti del nodo del lavoratore. La versione dannosa di Ledger Connect Kit è stata rilevata e sradicata, con una versione legittima immediatamente introdotta.
A seguito di questa invasione, è stato caricato un aggiornamento dannoso al repository GitHub di Ledger Connect. Ledger Connect è un pacchetto frequente per le applicazioni Web3. Alcune di queste app aggiornate diffondono inconsapevolmente il codice dannoso nei browser degli utenti. Zapper, SushiSwap, Phantom, Balancer e Revoke.cash, tra le altre applicazioni Web3, sono state contaminate, attraverso le quali l'intruso è stato in grado di drenare non meno di 484.000 dollari. È probabile che anche altre app siano state colpite, sollevando preoccupazioni in tutto l'ecosistema Ethereum Virtual Machine.
Il CEO di Cyvers Deddy Lavid, il CTO Meir Dolev e l'analista blockchain Hakal Unal hanno speculato sulla realizzazione dell'attacco, indicando che sembrava che il colpevole avesse utilizzato un codice dannoso per dimostrare i dettagli ingannevoli delle transazioni nei portafogli degli utenti, inducendoli così ad approvare transazioni che non intendevano.
I "kit di connessione" open source sono in genere utilizzati dagli sviluppatori che creano app Web3, facilitando il collegamento delle app con i portafogli degli utenti. Il kit di connessione di Ledger è una di queste opzioni. A seguito della creazione di un'app tramite Node Package Manager, l'app conterrà il kit di connessione come parte del suo codice, che viene poi scaricato nel browser dell'utente quando il sito viene visitato.
Il codice avverso incorporato all'interno del Ledger Connect Kit presumibilmente ha permesso all'hacker di modificare le transazioni inviate al portafoglio dell'utente. Ad esempio, il codice dannoso potrebbe aver attivato il portafoglio dell'utente per rivelare una richiesta di conferma dell'approvazione del token con l'indirizzo dell'aggressore anziché quello dell'app, portando gli utenti a confermare inconsapevolmente le transazioni.
Il team di Cyvers ha avvertito che è molto difficile eludere questo tipo di assalto poiché i portafogli non forniscono costantemente agli utenti informazioni comprensibili sulle loro azioni. Il team ha consigliato di esaminare attentamente ogni messaggio di conferma della transazione durante l'utilizzo di un'app, anche se la transazione viene visualizzata in un codice difficile da capire.
La loro piattaforma, secondo Cyvers, consente alle aziende di accertare se indirizzi specifici sono stati implicati in incidenti di sicurezza. Pur ritenendo che i futuri strumenti Web3 siano potenzialmente attrezzati per rilevare e prevenire tali attacchi, hanno riconosciuto che c'è ancora molto lavoro da fare.
Published At
12/15/2023 2:30:22 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.