Пользователи Ledger стали последними целями хорошо спланированной атаки, нацеленной на их криптофонды. В частности, злоумышленник скомпрометировал Ledger ConnectKit, популярную библиотеку программного обеспечения, которую децентрализованные приложения (dApps) используют для подключения к аппаратным кошелькам Ledger.
Эта уязвимость была раскрыта компанией Blockaid, отслеживающей безопасность блокчейна, в недавнем твите. Blockaid охарактеризовала ее как атаку по цепочке поставок, поскольку хакер отравил исходный код библиотеки, затронув приложения, зависящие от него.
В частности, злоумышленник внедрил вредоносный код полезной нагрузки кошелька в библиотеку для слива криптоактивов, хранящихся на устройствах Ledger, подключенных к dApps, с помощью скомпрометированного ConnectKit.
Кроме того, Blockaid выделил популярные dApps, которые, как было подтверждено, пострадали от атаки. На момент публикации предварительный список dApps, использующих ConnectKit, которые были признаны уязвимыми, включал мультицепочечный DEX SushiSwap, DeFi и NFT-трекеры Zapper, MetalSwap и EchoDex.
С другой стороны, Мэтью Лилли, технический директор SushiSwap, заявил, что все dApps, использующие Ledger ConnectKit, подвержены уязвимости. Лилли настоятельно посоветовал криптоэнтузиастам воздержаться от использования dApps до дальнейшего уведомления, поскольку это не единичный инцидент. По его словам, это широко распространенная атака, затрагивающая несколько dApps в больших масштабах.
" 
