SushiSwap та інші DeFi-протоколи повідомили про компрометацію бібліотеки Ledger

• Хакери скомпрометували бібліотеку Ledger Connect Kit та замінили її на контракт для викрадення активів.
• Експерти закликали не підключатися до будь-яких децентралізованих застосунків.
• Вони також підтвердили, що компрометація вплинула на SushiSwap, Revoke Cash та Zapper.

Технічний директор SushiSwap у своєму X (раніше Twitter) повідомив про компрометацію бібліотеки Ledger Connect Kit, внаслідок чого постраждали децентралізовані застосунки (dApps).

«Не взаємодійте з будь-якими децентралізованими застосунками до отримання подальших повідомлень. Схоже, що широко використовуваний конектор Web3 був зламаний, що дозволяє впровадити шкідливий код, який зачіпає безліч dApps», — йдеться в повідомленні. 

Команда SushiSwap у дописі в X підтвердила інформацію про злом. Вони повідомили, що працюють над усуненням проблеми та закликали не підключатися до dApps.

Також про експлойт розповіли у Revoke Cash. Компанія перевела сайт в офлайн-режим, оскільки проводить розслідування.

Аналітики Hacken також закликали не взаємодіяти із dApps.

В коментарі для Incrypted експерти компанії Hacken пояснили:

«Скомпроментована бібліотека Ledger Connect Kit. Відповідно кожен вебсайт (dApp), який її використовує, також є скомпроментованим. На нього завантажується зловмисний код, який починає працювати за принципом фішингу. Якщо користувач не взаємодіє з цими сайтами, то йому взагалі нічого не загрожує. Але ми точно зараз не можемо сказати, хто крім SushiSwap, Zapper та RevokeCash ними користується. Через це для власної безпеки потрібно почекати, поки цю проблему усунуть. Навряд це займе дуже багато часу».

Представники команди аналітичної фірми HAPI зазначили в розмові з Incrypted, що внаслідок компрометації відбувається підміна модального вікна підключення гаманця при авторизації:

«Це популярний Web3-конектор, він ставить під удар дуже багато протоколів і гаманців. Краще нічого не робити поки що нікому. Не взаємодіяти з жодним dApp. У небезпеці користувачі будь-яких dApp і будь-яких гаманців, що взаємодіють з ними. Не тільки Ledger Live».

Апдейт: у Ledger заявили, що виявили та видалили шкідливу версію Ledger Connect Kit:

«Наразі на заміну шкідливому файлу випускається справжня версія. Наразі не взаємодійте з жодними застосунками. Ми будемо інформувати вас про розвиток ситуації. Ваш пристрій Ledger та Ledger Live не було скомпрометовано».

Апдейт 2: генеральний директор компанії Tether Паоло Ардоіно у X повідомив, що адресу хакера було заморожено.

Incrypted продовжить стежити за розвитком подій. Ми оновимо матеріал, коли зʼявляться нові деталі.