Hacker da Ledger explora aplicativos Web3, drenando mais de US$ 484.000 em esquema sorrateiro
Summary:
Em 14 de dezembro, um hacker conseguiu drenar mais de US$ 484.000 de vários aplicativos Web3, enganando os usuários para aprovar transações de token maliciosas. O hacker obteve acesso à conta javascript do gerenciador de pacotes do nó de um ex-funcionário da Ledger e carregou uma atualização prejudicial para o repositório GitHub do Ledger Connect, espalhando assim o código malicioso para os navegadores dos usuários. Vários aplicativos Web3, incluindo Zapper, SushiSwap, Phantom, Balancer e Revoke.cash foram infectados. A equipe do Cyvers sugere que o código prejudicial provavelmente permitiu que o hacker modificasse transações dentro das carteiras dos usuários, resultando em aprovações errôneas. A equipe ressaltou a importância de examinar cada mensagem de confirmação de transação para evitar esses ataques.
Em 14 de dezembro, um hacker identificado como o "hacker Ledger" conseguiu acumular um mínimo de US$ 484.000 de uma série de aplicativos Web3, enganando os usuários para sancionar aprovações de tokens maléficos. O ataque, apoiado pela Cyvers, uma equipe de plataforma de segurança blockchain, ocorreu durante as horas da manhã. O infrator utilizou uma manipulação de phishing para violar o computador de um ex-funcionário da Ledger, garantindo assim a admissão na conta javascript do gerenciador de pacotes do nó do trabalhador. A versão maliciosa do Ledger Connect Kit foi anotada e erradicada, com uma versão legítima sendo introduzida instantaneamente.
Após essa invasão, uma atualização prejudicial para o repositório GitHub do Ledger Connect foi carregada. O Ledger Connect é um pacote frequente para aplicações Web3. Alguns desses aplicativos atualizados espalham o código maléfico sem saber para os navegadores dos usuários. Zapper, SushiSwap, Phantom, Balancer e Revoke.cash, entre outros aplicativos Web3, foram contaminados, através dos quais o intruso foi capaz de drenar nada menos que US$ 484.000. É provável que outros aplicativos também tenham sido afetados, levantando preocupações em todo o ecossistema da Máquina Virtual Ethereum.
O CEO da Cyvers, Deddy Lavid, o CTO Meir Dolev e o analista de blockchain Hakal Unal especularam sobre a realização do ataque, indicando que parecia que o culpado empregou código prejudicial para demonstrar detalhes de transações enganosas nas carteiras dos usuários, enganando-os para aprovar transações que não pretendiam.
Os "kits de conexão" de código aberto são normalmente usados por desenvolvedores que criam aplicativos Web3, facilitando a vinculação dos aplicativos às carteiras dos usuários. O kit de conexão da Ledger é uma dessas opções. Após a criação de um aplicativo via Node Package Manager, o aplicativo conterá o kit de conexão como parte de seu código, que é baixado para o navegador do usuário quando o site é visitado.
O código adverso incorporado no Ledger Connect Kit presumivelmente capacitou o hacker a modificar transações enviadas para a carteira do usuário. Por exemplo, o código nocivo pode ter acionado a carteira do usuário para revelar uma solicitação de confirmação de aprovação de token com o endereço do invasor em vez do do aplicativo, levando os usuários a confirmar transações sem querer.
A equipe da Cyvers alertou que é altamente desafiador evitar esse tipo de ataque, já que as carteiras não fornecem consistentemente aos usuários informações compreensíveis sobre suas ações. A equipe aconselhou o exame cuidadoso de cada mensagem de confirmação de transação durante o uso de um aplicativo, mesmo que a transação seja exibida em código difícil de entender.
Sua plataforma, de acordo com Cyvers, permite que as empresas verifiquem se endereços específicos foram implicados em incidentes de segurança. Embora eles vejam as futuras ferramentas Web3 como potencialmente sendo equipadas para detectar e prevenir esses ataques, eles reconheceram que ainda há um trabalho considerável a ser feito.
Published At
12/15/2023 2:30:22 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.