SushiSwap атакували через скомпрометований Ledger Connect Kit
Популярний протокол децентралізованих фінансів (DeFi) SushiSwap зазнав сьогодні атаки з використанням скомпрометованого Ledger Connect Kit, що ставить під загрозу безпеку багатьох інших DeFi-проєктів.
Головний технічний директор Sushi, Метью Ліллі (Matthew Lilley), попередив користувачів про критичну вразливість у Ledger Connect Kit, яка дозволяє зловмисникам впроваджувати шкідливий код в інтерфейси різних DeFi-проєктів.
«Не взаємодійте з БУДЬ-ЯКИМИ dApps до подальшого повідомлення», - написав Ліллі у Twitter. «Здається, що поширений web3-коннектор було скомпрометовано, що дозволяє ін'єктувати шкідливий код, який впливає на численні dApps».
Sushi (SUSHI) офіційно підтвердив проблему:
«Ми виявили критичну проблему - скомпрометований Ledger Connect Kit, що потенційно дозволяє ін'єкцію шкідливого коду в різні dApps. Якщо на сторінці Sushi з'являється несподіване спливаюче вікно «Підключити гаманець», НЕ взаємодійте та НЕ підключайте свій гаманець».
Атака з використанням front-end exploit полягає у зміні хакерами інтерфейсу користувача (UI) вебсайту або додатків. Після цього зловмисники можуть змінювати функції для перенаправлення коштів на себе. При цьому, вони не отримують доступу до гарячих гаманців протоколу.
Ліллі повідомив, що підозрілий код походить зі сторінки Ledger на GitHub. Користувач X звернув увагу, що бібліотеку Ledger було скомпрометовано та замінено на інструмент для викрадення токенів.
Повідомляється, що експлойт закликає користувачів підключити свої гаманці через спливаюче вікно, яке потім активує інструмент для викрадення токенів.
Проблеми також виникли на інших DeFi-проектах, зокрема Zapper та RevokeCash.
Через п'ять годин після взлому, компанія Ledger опублікувала звіт про причини і наслідки події. У звіті було підтверджено, що колишній співробітник Ledger став жертвою атаки методом «фішінг», через яку хакер зміг вставити шкідливий код в інструментарій Connect Kit компанії. Зазначено, що зараз цей код вже видалено, і компанія, яка випускає стейблкоїн Tether, заморозила гаманець хакера.
Один користувач X зауважив, що бібліотека від Ledger була скомпрометована і замінена на програму, яка викрадає токени.
Компанія Ledger повідомила, що вона «виявила та видалила шкідливу версію Ledger Connect Kit».
«Справжня версія вже надсилається для заміни шкідливого файлу», - повідомила компанія. «Наразі утримуйтеся від взаємодії з будь-якими додатками (dApps). Ми будемо вас інформувати, як ситуація розвиватиметься. Ваш пристрій Ledger та Ledger Live не були скомпрометовані».
Яка ваша реакція?
