LedgerdAppsセキュリティ攻撃
created at
【速報】Ledger Connect Kitへの攻撃
ハードウェアウォレットメーカー Ledger、悪意のあるファイルの警告
ハードウェアウォレットの製造元であるLedgerは、分散型アプリケーション(dapps)に接続しないようユーザーに警告しました。 公式スポークスマンはDecryptに対して、「弊社はLedger Connect Kitの悪意のあるバージョンを特定し、除去しました。現在悪意のあるファイルを置き換える正規のバージョンをプッシュしています。今のところどんなdAppsともやり取りしないでください」と語りました。スポークスマンはまた、LedgerデバイスとLedger Liveアプリが侵害されていないとし、この状況の進展に応じてユーザーに情報提供を続けると述べました。
Ledger Connect Kitへの攻撃
ソフトウェアウォレット開発者のMetaMaskも、攻撃のニュースが広まると「dappsの使用を停止するようユーザーに警告しました。」
Ledger Connect Kitの侵害されたバージョンは、Twitter上で開発者が最初に特定しました。
注意喚起
Web3セキュリティ企業BlockAidによると、「攻撃者がLedgerのconnect-kitのNPMパッケージにウォレットを排出するペイロードを注入しました。」と報告し、Ledgerのconnect-kitバージョン1.1.4以上を使用しているdapps(Sushi.comやHey.xyzを含む)が影響を受けたと報告しました。
対応を待ちましょう
SushiSwapのCTOであるMatthew Lilleyは、Ledgerを「数々の大きな失態の連鎖」と非難し、「一般的に使用されているweb3接続が侵害され、多くのdAppsに影響を及ぼす悪意のあるコードの注入が可能になってしまった」と説明しました。彼は、各チームが攻撃を軽減したことを確認するまで、ユーザーはdAppsの使用を避けるべきだと付け加えました。