- Технический директор Sushi, Matthew Lilley, предостерегает о возможной front-end атаке, затрагивающей широко используемый веб-коннектор Web3.
- Взлом включает в себя изменение пользовательского интерфейса веб-сайтов или приложений, которое позволяет хакерам украсть средства.
- Проблема затрагивает многие сайты DeFi, включая Zapper и RevokeCash.
Взлом библиотеки LedgerConnect
Matthew Lilley, технический директор DeFi протокола Sushi, недавно предупредил о front-end атаке, которая, кажется, затрагивает часто используемый в индустрии веб-коннектор: LedgerConnect. В срочном сообщении на X он советует не взаимодействовать с dApps до дальнейших указаний. Это предупреждение основано на обнаружении уязвимости безопасности, которая позволяет внедрить вредоносный код, влияющий на многие dApps.
Front-end атака характеризуется изменениями в пользовательском интерфейсе (UI) сайта или приложения. Таким образом, хакеры могут изменить функции для переадресации средств на свои счета. Важно отметить, что этот тип атаки не позволяет получить доступ к кошелькам. Lilley указал, что подозрительный код, по-видимому, происходит из репозитория GitHub поставщика аппаратных кошельков Ledger. Пользователь на X указал, что библиотека Ledger была скомпрометирована и заменена на дренаж токенов.
Не используйте никакие dApps, пока не будет выложено исправление
Проблема затрагивает несколько сайтов децентрализованных финансов (DeFi), в том числе Sushi Swap, Zapper, Hey и даже RevokeCash. Поэтому важно сохранять спокойствие и ждать, а не пытаться отозвать доступ и совершить ошибку.