Matthew Lilley, de CTO van SushiSwap, heeft op X (Twitter) gewaarschuwd en gebruikers gevraagd om interactie met gedecentraliseerde applicaties (dApps) te vermijden. Veel andere dApps hebben een compromis bevestigd.
Security incidenten in de crypto wereld komen vaak voor. Ze zijn echter geïsoleerd tot een enkel protocol. Op het moment van schrijven is er echter een aanval gaande op veel gedecentraliseerde applicaties (dApps).
Gebruikers gevraagd om interactie met dApps te vermijden vanwege een compromis
Lilley schreef op X (Twitter):
Ga tot nader order geen interactie aan met ALLE dApps. Het lijkt erop dat een veelgebruikte web3-connector is gecompromitteerd, waardoor kwaadaardige code kan worden geïnjecteerd die van invloed is op een groot aantal dApps.
De SushiSwap CTO verduidelijkte later dat dApps die Ledger ConnectKit gebruiken kwetsbaar zijn. Hij waarschuwde:
Dit is niet één geïsoleerde aanval, het is een grootschalige aanval op meerdere dApps.
Lees meer:
Het Web3 security bedrijf Blockaid vermoedt een potentiële supply chain aanval op de Ledger ConnectKit. Het schreef:
De aanvaller injecteerde een wallet-draining payload in het populaire NPM-pakket. Dit treft momenteel een aantal populaire dapps, waaronder Hey.xyz en Sushi.com.
Verder deelde Blockaid met BeInCrypto dat er in de afgelopen twee uur voor meer dan $150.000 aan fondsen verloren zijn gegaan. Ook Revoke.cash bevestigde dat het gecompromitteerd was. Ondertussen drong het er ook bij de gebruikers op aan om geen cryptowebsites te gebruiken totdat er meer duidelijkheid is.
Lilley probeerde het incident in drie punten samen te vatten en zei dat Ledger “a chain of terrible blunders” had gemaakt. Hij zei:
- Ze laden JS van een CDN
- Ze vergrendelen de geladen JS niet.
- Hun CDN was gecompromitteerd.
Uiteindelijk liet Ledger de gebruikers weten dat het de kwaadaardige versie van de ConnectKit had geïdentificeerd en verwijderd. Het schreef op X (Twitter):
Er wordt nu een echte versie gepushed om het schadelijke bestand te vervangen. Momenteel geen interactie met dApps. We houden u op de hoogte als de situatie zich verder ontwikkelt.
Uw Ledger-apparaat en Ledger Live zijn niet aangetast.
Heeft u iets te zeggen over dApps of iets anders? Schrijf ons of discussieer mee op ons Telegram-kanaal. U kunt ons ook zien op TikTok, Facebook of X (Twitter).
Klik hiervoor BeInCrypto’s nieuwste Bitcoin (BTC) analyse .
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
