【速報】Ledger Connect Kitへの攻撃

ハードウェアウォレットメーカー Ledger、悪意のあるファイルの警告

ハードウェアウォレットの製造元であるLedgerは、分散型アプリケーション（dapps）に接続しないようユーザーに警告しました。 公式スポークスマンはDecryptに対して、「弊社はLedger Connect Kitの悪意のあるバージョンを特定し、除去しました。現在悪意のあるファイルを置き換える正規のバージョンをプッシュしています。今のところどんなdAppsともやり取りしないでください」と語りました。スポークスマンはまた、LedgerデバイスとLedger Liveアプリが侵害されていないとし、この状況の進展に応じてユーザーに情報提供を続けると述べました。

Ledger Connect Kitへの攻撃

ソフトウェアウォレット開発者のMetaMaskも、攻撃のニュースが広まると「dappsの使用を停止するようユーザーに警告しました。」

Ledger Connect Kitの侵害されたバージョンは、Twitter上で開発者が最初に特定しました。

注意喚起

Web3セキュリティ企業BlockAidによると、「攻撃者がLedgerのconnect-kitのNPMパッケージにウォレットを排出するペイロードを注入しました。」と報告し、Ledgerのconnect-kitバージョン1.1.4以上を使用しているdapps（Sushi.comやHey.xyzを含む）が影響を受けたと報告しました。

対応を待ちましょう

SushiSwapのCTOであるMatthew Lilleyは、Ledgerを「数々の大きな失態の連鎖」と非難し、「一般的に使用されているweb3接続が侵害され、多くのdAppsに影響を及ぼす悪意のあるコードの注入が可能になってしまった」と説明しました。彼は、各チームが攻撃を軽減したことを確認するまで、ユーザーはdAppsの使用を避けるべきだと付け加えました。