Hoy surgió una vulnerabilidad crítica de seguridad World wide web3 que, según se informa, afecta a varias aplicaciones descentralizadas. El problema estaba relacionado con una biblioteca de software package del proveedor de billeteras de hardware Ledger en la que confiaba dapps.
La vulnerabilidad permitió que se inyectara código malicioso en numerosas dapps en sus interfaces, lo que representa un riesgo significativo para los usuarios y sus activos. En consecuencia, las interfaces de múltiples dapps podrían ser vulnerables si se usan. Proyectos como Kyber y RevokeCash confirmaron en X que desactivaron sus interfaces.
Según los informes, el software package de la biblioteca fue reemplazado por código malicioso creado por piratas informáticos y diseñado para drenar activos.
La empresa de seguridad Blockaid lo describió como un “ataque a la cadena de suministro” al Ledger Join Kit y estimó que se habían perdido 150.000 dólares en las últimas horas.
El problema puede haber surgido debido a un supuesto compromiso de una purple de entrega de contenido (CDN) específica que alojaba dicha biblioteca de software program. de acuerdo a Matthew Lilley, director de tecnología de Sushi. “LedgerHQ/connect-package carga JS [JavaScript] desde una CDN, su cuenta CDN se ha visto comprometida, lo que está inyectando JS malicioso en múltiples dApps”, dijo Lilley. Añadió que cualquier dApp que hiciera uso de LedgerHQ/join-kit period susceptible.
Libro mayor responde
Se finalizó un parche de program en una actualización y es posible que las dapps deban adoptarlo antes de que las condiciones sean seguras. “Hemos identificado y eliminado una versión maliciosa del Ledger Link Package. Ahora se está lanzando una versión genuina para reemplazar el archivo malicioso”, dijo Ledger en un comunicado.
Mientras tanto, Lilley y otros han advertido a los usuarios que eviten interactuar con cualquier dapp hasta nuevo aviso.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. En noviembre de 2023, Foresight Ventures es el inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del criptoespacio. Bitget, el intercambio de cifrado, es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para brindar información objetiva, impactante y oportuna sobre la industria de la criptografía. Aquí están nuestras divulgaciones financieras actuales.
© 2023 El Bloque. Reservados todos los derechos. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.