Kripto Para Topluluğu Şaşkın: Ledger’da Güvenlik İhlali!
Kalan süre:
KSVR TOKEN
Merkezi olmayan uygulama (Dapp) dünyasını sarsan ve çok sayıda merkezi olmayan finans (DeFi) platformunu etkileyen büyük bir güvenlik açığı tespit edildi. SushiSwap’in Baş Teknoloji Sorumlusu, Ledger ilişki kitinden kaynaklanan bir güvenlik açığı konusunda önemli bir ikaz yaptı. Bu gelişme kripto para topluluğu ortasında şaşkınlığa yol açtı.
SushiSwap CTO’su Ledger’ı suçladı ve kripto para topluluğunu uyardı
Ledger’ın bağlayıcısını kullanan ve ortalarında Zapper, SushiSwap, Balancer ve Revoke.cash’in de bulunduğu çok sayıda merkezi olmayan uygulamanın (DApp) ön ucu 14 Aralık’ta ele geçirildi. SushiSwap baş teknik sorumlusu Mathew Lilley, yaygın olarak kullanılan bir Web3 konektörünün ele geçirildiğini açıkladı. Ayrıyeten, bunun çok sayıda DApp’a makûs gayeli kod enjekte edilmesine müsaade verdiğini bildirdi. On-chain analist, Ledger kütüphanesinin, bu kodun boşaltıcı hesap adresini eklediğini doğruladığını söyledi. Bu gelişmeler kripto para topluluğundan çeşitli reaksiyonlar aldı.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
SushiSwap CTO’su, devam eden güvenlik açığı ve çoklu DApp’lerde uzlaşma için Ledger’ı suçladı. CTO, Ledger’ın içerik dağıtım sisteminin (CDN) tehlikeye girdiğini söyledi. Ayrıyeten, bunun akabinde vahim bir yanlışlar zincirinin geldiğini sav etti. CTO’ya nazaran, birinci olarak, yüklenen JS’yi sürüm kilitlemeden tehlikeye giren bir CDN’den java komut evrakı yüklediler.
Güvenlik açığı nasıl oluştu
Ledger connector, birçok DApp tarafından kullanılan ve Ledger tarafından sürdürülen bir kütüphane. Son gelişmede, bir kripto para cüzdan boşaltma kodu ekli durumda. Bu nedenle bir kullanıcının hesabını boşaltma süreci kendi başına gerçekleşmiyor. Bununla birlikte, bir tarayıcı cüzdanından (MM gibi) gelen istemler görüntülenerek, berbat niyetli aktörlerin varlıklara erişmesini imkan sağlıyor.
DAppsOn-chain analistleri, kullanıcıları Ledger bağlayıcısını kullanan tüm DApp’lerden kaçınmaları konusunda uyardı. Bu doğrultuda, connect-kit-loader’ın da savunmasız olduğunu eklediler LedgerHQ/connect-kit kullanan rastgele bir DApp savunmasızdır. On-chain analistleri, bunun tek bir izole akın olmadığını söylüyorlar. Bunun yerine birden fazla dApp’e yönelik büyük ölçekli bir hücum olduğunu belirtiyorlar.
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
Polygon Labs lider yardımcısı Hudson Jameson, Ledger’ın kütüphanelerindeki makûs kodu düzeltmesinden sonra bile, bu kütüphaneyi kullanan ve dağıtan kripto para projelerinin, Ledger’ın Web3 kütüphanelerini kullanan DApp’leri kullanmanın inançlı olması için birtakım şeyleri güncellemeleri gerekeceğini söyledi.
Ledger güvenlik açığını kabul etti
Bu ortada Ledger, kodundaki güvenlik açığını kabul etti. Bu bağlamda, Ledger Connect Kit’in makus hedefli bir sürümünü kaldırdıklarını söyledi. Tıpkı vakitte, şu anda makus emelli belgenin yerine özgün bir sürüm yayınlanıyor. Bu doğrultuda Ledger, şu açıklamayı yaptı:
Ledger Connect Kit’in makûs maksatlı bir sürümünü tespit ettik ve kaldırdık. Şu anda makus hedefli belgenin yerine orjinal bir sürüm yükleniyor. Şu an için rastgele bir dApp ile etkileşime girmeyin. Durum geliştikçe sizi bilgilendirmeye devam edeceğiz. Ledger aygıtınız ve Ledger Live tehlikede değil.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
