Matthew Lilley, il CTO di SushiSwap, ha messo in guardia su X (Twitter), chiedendo agli utenti di evitare l'interazione con qualsiasi applicazione decentralizzata (dApp). Molte altre dApp hanno confermato un compromesso.
Gli incidenti di sicurezza nel regno delle criptovalute sono frequenti. Tuttavia, sono isolati in un unico protocollo. Tuttavia, al momento della stesura di questo articolo, è in corso un attacco a molte applicazioni decentralizzate (dApp).
Agli utenti è stato chiesto di evitare l'interazione con le dApp a causa di un compromesso
Lilley ha scritto su X (Twitter) :
Non interagire con NESSUNa dApp fino a nuovo avviso. Sembra che sia stato compromesso un connettore web3 comunemente utilizzato che consente l'iniezione di codice dannoso che colpisce numerose dApp.
Il CTO di SushiSwap ha successivamente chiarito che le dApp che utilizzano Ledger ConnectKit sono vulnerabili. Ha avvertito :
Non si tratta di un singolo attacco isolato, ma di un attacco su larga scala contro più dApp.
Per saperne di più:
La società di sicurezza Web3 Blockaid sospetta un potenziale attacco alla catena di approvvigionamento del Ledger ConnectKit. Ha scritto :
L’aggressore ha inserito un payload in grado di prosciugare il portafoglio nel popolare pacchetto NPM. Ciò attualmente interessa un paio di dapp popolari tra cui, ma non solo, Hey.xyz e Sushi.com.
Inoltre, Blockaid ha condiviso con BeInCrypto che nelle ultime due ore sono andati persi fondi per un valore di oltre $ 150.000. Inoltre, Revoke.cash ha confermato di essere stato compromesso. Nel frattempo, ha anche esortato gli utenti a evitare di utilizzare qualsiasi sito Web di crittografia finché non ci sarà ulteriore chiarezza.
Lilley ha provato a riassumere l’incidente in tre punti, dicendo che Ledger ha commesso “una catena di terribili errori”. Egli ha detto :
- Stanno caricando JS da un CDN
- Non sono JS caricati con blocco della versione.
- Il loro CDN era stato compromesso.
Infine, Ledger ha informato gli utenti di aver identificato e rimosso la versione dannosa del ConnectKit. Ha scritto su X (Twitter):
Attualmente viene inviata una versione autentica per sostituire il file dannoso. Non interagire con nessuna dApp per il momento. Vi terremo informati sull'evolversi della situazione.
Il tuo dispositivo Ledger e Ledger Live non sono stati compromessi.
Hai qualcosa da dire sulla compromissione delle dApp o altro? Scrivici o partecipa alla discussione sul nostro canale Telegram. Puoi trovarci anche su TikTok , Facebook o X (Twitter).
Per l'ultima analisi Bitcoin (BTC) di BeInCrypto , clicca qui .
Le migliori piattaforme crittografiche in Europa | Dicembre 2023
Il post Evitare l'interazione delle dApp in mezzo a un compromesso ad alto rischio, avverte il CTO di SushiSwap è apparso per la prima volta su BeInCrypto .