SushiSwap атаковали через скомпрометированный Ledger Connect Kit
Популярный протокол децентрализованных финансов (DeFi) SushiSwap подвергся сегодня атакам с использованием скомпрометированного Ledger Connect Kit, что ставит под угрозу безопасность многих других DeFi-проектов.
Главный технический директор Sushi, Мэтью Лилли (Matthew Lilley), предупредил пользователей о критической уязвимости в Ledger Connect Kit, позволяющей злоумышленникам внедрять вредоносный код в интерфейсы различных DeFi-проектов.
«Не взаимодействуйте с ЛЮБЫМИ dApps до последующего сообщения», - написал Лилли в Twitter. «Кажется, что распространённый web3-коннектор был скомпрометирован, что позволяет инъецировать вредоносный код, влияющий на многочисленные dApps».
Sushi (SUSHI) официально подтвердил проблему:
«Мы обнаружили критическую проблему – скомпрометированный Ledger Connect Kit, что потенциально позволяет инъекцию вредоносного кода в разные dApps. Если на странице Sushi появляется неожиданное всплывающее окно «Подключить кошелек», НЕ взаимодействуйте и НЕ подключайте свой кошелек».
Атака с использованием front-end exploit заключается в изменении хакерами пользовательского интерфейса (UI) вебсайта или приложений. После этого злоумышленники могут изменять функции перенаправления средств на себя. При этом они не получают доступа к горячим кошелькам протокола.
Лилли сообщил, что подозрительный код происходит со страницы Ledger на GitHub. Пользователь X обратил внимание, что библиотека Ledger была скомпрометирована и заменена инструментом для похищения токенов.
Сообщается, что эксплойт призывает пользователей подключить свои кошельки через всплывающее окно, которое затем активирует инструмент похищения токенов.
Проблемы также возникли на других DeFi-проектах, включая Zapper и RevokeCash.
Через пять часов после взлома, компания Ledger опубликовала отчет о причинах и последствиях происшествия. В отчете было подтверждено, что бывший сотрудник Ledger стал жертвой атаки методом "фишинг", из-за которой хакер смог вставить вредоносный код в инструментарий Connect Kit компании. Отмечено, что сейчас этот код уже удалён, и компания, выпускающая стейблкоин Tether, заморозила кошелек хакера.
Один пользователь X заметил, что библиотека от Ledger была скомпрометирована и заменена программой, которая похищает токены.
Компания Ledger сообщила, что она «обнаружила и удалила вредоносную версию Ledger Connect Kit».
«Настоящая версия уже отправляется для замены вредоносного файла», - сообщила компания. «В настоящее время воздерживайтесь от взаимодействия с любыми приложениями (dApps). Мы будем информировать вас о том, как ситуация будет развиваться. Устройство Ledger и Ledger Live не были скомпрометированы».
Ваша реакция?