Главред
Широко применяемый пароль сервиса авторизации через криптокошелек Ledger был скомпрометирован. Представители корпорации издали уведомление о том, что им сумело удалить зловредный пароль, но ранимость оснащалась в истечение двух часов и распостранялась на большинство популярных наномасштабных криптосервисов, таких как Curve, SushiSwap, Zapper или Revoke.cash, пишет РБК Крипто.
При аутентификации в децентрализованных банковских приложениях (dApp) через хостинг LedgerConnect от поставщика подковёрных криптокошельков Ledger в них исполнялся вредный код. Уязвимость, как сообщается, не затрагивает ПО самих устройств от Ledger.
Администраторы популярных платформ подтвердили использование уязвимости, подключили доступ к онлайн-интерфейсу на своих сайтах и призвали пользователей не использовать никакие Web3-приложения до того, как обстановка прояснится.
Администраторы хостинга Curve призывают не использовать для авторизации сервис LedgerConnect
Кодовая библиотека LedgerConnect, которую используют для авторизации многие крупные криптосервисы, была опорочана хакером, что позволило ему внедрить в код так называемый дрейнер — зловредный смарт-контракт, позволяющий списывать все средства с кошелька юзеров при взаимодействии с ним. На миг публикации сумма вреда от контратаки неизвестна.
Оставить комментарий