Хакер Ledger использует приложения Web3, похитив более 484 000 долларов в подлой схеме
Summary:
14 декабря хакеру удалось вывести более 484 000 долларов из нескольких приложений Web3, обманом заставив пользователей одобрить транзакции с вредоносными токенами. Хакер получил доступ к javascript-учётной записи менеджера пакетов узлов бывшего сотрудника Ledger и загрузил вредоносное обновление в репозиторий GitHub Ledger Connect, тем самым распространив вредоносный код на браузеры пользователей. Несколько приложений Web3, включая Zapper, SushiSwap, Phantom, Balancer и Revoke.cash, были заражены. Команда Cyvers предполагает, что вредоносный код, вероятно, позволял хакеру модифицировать транзакции в кошельках пользователей, что приводило к ошибочным одобрениям. Команда подчеркнула важность тщательного изучения каждого сообщения с подтверждением транзакции, чтобы избежать таких атак.
14 декабря хакеру, идентифицированному как «хакер Ledger», удалось накопить минимум 484 000 долларов из массива приложений Web3, обманув пользователей и заставив их санкционировать одобрение вредоносных токенов. Атака, поддержанная Cyvers, командой платформы безопасности блокчейна, произошла в утренние часы. Злоумышленник использовал фишинговую манипуляцию, чтобы взломать компьютер бывшего сотрудника Ledger, тем самым обеспечив себе доступ к учетной записи javascript менеджера пакетов узлов воркера. Вредоносная версия Ledger Connect Kit была обнаружена и уничтожена, а легальная версия была мгновенно внедрена.
После этого вторжения было загружено вредоносное обновление репозитория GitHub Ledger Connect. Ledger Connect — это часто встречающийся пакет для приложений Web3. Некоторые из этих обновленных приложений неосознанно распространяют вредоносный код в браузерах пользователей. Заражению подверглись Zapper, SushiSwap, Phantom, Balancer, Revoke.cash и другие Web3-приложения, через которые злоумышленник смог вывести не менее 484 000 долларов. Вполне вероятно, что другие приложения также были затронуты, что вызвало обеспокоенность во всей экосистеме виртуальных машин Ethereum.
Генеральный директор Cyvers Дедди Лавид, технический директор Меир Долев и блокчейн-аналитик Хакал Унал предположили, что преступник, похоже, использовал вредоносный код, чтобы продемонстрировать обманчивые данные транзакций в кошельках пользователей, тем самым обманом заставив их одобрить транзакции, которые они не собирались одобрять.
«Комплекты подключения» с открытым исходным кодом обычно используются разработчиками, которые создают приложения Web3, облегчая приложениям связывание с кошельками пользователей. Connect Kit от Ledger — один из таких вариантов. После создания приложения с помощью Node Package Manager приложение будет содержать набор для подключения как часть своего кода, который затем загружается в браузер пользователя при посещении сайта.
Вредоносный код, встроенный в Ledger Connect Kit, предположительно, позволял хакеру модифицировать транзакции, отправленные в кошелек пользователя. Например, вредоносный код мог привести к тому, что кошелек пользователя покажет запрос на подтверждение одобрения токена, содержащий адрес злоумышленника, а не приложения, что приведет к тому, что пользователи невольно подтверждают транзакции.
Команда Cyvers предупредила, что избежать такого рода атак очень сложно, поскольку кошельки не всегда предоставляют пользователям понятную информацию об их действиях. Команда рекомендовала тщательно проверять каждое сообщение с подтверждением транзакции при использовании приложения, даже если транзакция отображается в коде, который трудно понять.
Их платформа, по словам Сайверса, позволяет предприятиям установить, были ли конкретные адреса причастны к инцидентам безопасности. Несмотря на то, что они рассматривают будущие инструменты Web3 как потенциально оснащенные для обнаружения и предотвращения таких атак, они признали, что еще предстоит проделать значительную работу.
Published At
12/15/2023 2:30:22 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.