Matthew Lilley, CTO di SushiSwap, ha avvisato su X (Twitter), chiedendo agli utenti di evitare di interagire con qualsiasi applicazione decentralizzata (dApp). Molte altre dApp hanno confermato la compromissione.
Gli incidenti di sicurezza nel settore delle criptovalute sono frequenti. Tuttavia, sono isolati a un singolo protocollo. Tuttavia, nel momento in cui scriviamo, è in corso un attacco a molte applicazioni decentralizzate (dApp).
Gli utenti sono invitati a evitare l’interazione con le dApp a causa di una compromissione
Lilley ha scritto su X (Twitter):
Non interagire con NESSUNA dApp fino a nuovo avviso. Sembra che un connettore web3 comunemente utilizzato sia stato compromesso, consentendo l’iniezione di codice dannoso che interessa numerose dApp.
Il CTO di SushiSwap ha poi chiarito che le dApp che utilizzano Ledger ConnectKit sono vulnerabili. Ha avvisato:
Non si tratta di un singolo attacco isolato, ma di un attacco su larga scala a più dApp.
Per saperne di più:
La società di sicurezza Web3 Blockaid sospetta un potenziale attacco alla catena di approvvigionamento di Ledger ConnectKit. Ha scritto:
L’attaccante ha iniettato un payload che prosciuga il portafoglio nel popolare pacchetto NPM. Questo problema interessa attualmente un paio di dapp popolari includendo, ma non solo, Hey.xyz e Sushi.com.
Inoltre, Blockaid ha condiviso con BeInCrypto che oltre 150.000 dollari di fondi sono stati persi nelle ultime due ore. Anche Revoke.cash ha confermato di essere stato compromesso. Nel frattempo, ha anche invitato gli utenti a evitare di utilizzare qualsiasi sito web di criptovalute fino a quando non ci sarà maggiore chiarezza.
Lilley ha cercato di riassumere l’incidente in tre punti, dicendo che Ledger ha fatto “una catena di terribili errori”. Ha detto:
- Stanno caricando JS da un CDN
- Non bloccano la versione del JS caricato.
- Il loro CDN è stato compromesso.
Infine, Ledger ha informato gli utenti di aver identificato e rimosso la versione dannosa del ConnectKit. Ha scritto su X (Twitter):
Una versione autentica è in fase di distribuzione per sostituire il file dannoso. Non interagite con nessuna dApp per il momento. Vi terremo informati sull’evolversi della situazione.
Il vostro dispositivo Ledger e Ledger Live non sono stati compromessi.
Avete qualcosa da dire sulla compromissione delle dApp o altro? Scriveteci o partecipate alla discussione sul nostro canale Telegram. Potete trovarci anche su TikTok, Facebook o X (Twitter).
Per le ultime analisi di BeInCrypto sulBitcoin (BTC), cliccate qui.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
