Широко используемый код сервиса авторизации через криптокошелек Ledger был скомпрометирован. Представители компании выпустили заявление о том, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов, таких как Curve, SushiSwap, Zapper или Revoke.cash, пишет РБК Крипто.
При авторизации в децентрализованных финансовых приложениях (dApp) через сервис LedgerConnect от производителя аппаратных криптокошельков Ledger в них исполнялся вредоносный код. Уязвимость, как сообщается, не затрагивает ПО самих устройств от Ledger.
Администраторы популярных платформ подтвердили наличие уязвимости, отключили доступ к онлайн-интерфейсу на своих сайтах и призвали пользователей не использовать никакие Web3-приложения до того, как ситуация прояснится.
Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была скомпрометирована хакером, что позволило ему внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошелька пользователей при взаимодействии с ним. На момент публикации сумма ущерба от атаки неизвестна.
Источник: cryptocurrency.tech