Hvad nu hvis jeg fortalte dig, at det decentraliserede applikations (DApp)-økosystem for nylig var i fare på grund af en Ledger-sårbarhed? Den 14. december udfoldede der sig en række begivenheder, der satte sikkerheden for hele DApp-økosystemet på spil. En ondsindet aktør opdagede og udnyttede en svaghed i Ledger-hardwarewalletens forbindelsesbibliotek, hvilket fik advarsler fra on-chain-analytikere og DApps som SushiSwap og MetaMask, der rådede brugerne til helt at undgå interaktion med deres tegnebøger.
Forståelse af Ledger-udnyttelsen
Angriberen, nu kendt som ‘Ledger-hackeren’, formåede at tømme over $650.000 i aktiver fra flere ofre. Dette blev opnået ved at manipulere Web3-brugere til at godkende skadelige token-transaktioner. Hackeren brugte en phishing-udnyttelse til at kompromittere en tidligere Ledger-medarbejders computer og få adgang til deres node package manager javascript-konto. Selvom det tømte beløb var betydeligt, kunne det have været meget højere, når man tænker på antallet af tegnebøger og DApps, der var i fare.
Takket være Ledger var de hurtige til at reagere og frigav en patch inden for timer for at inddæmme Ledger-sårbarheden i DApp-økosystemet. Ikke desto mindre fungerer hændelsen som en skarp påmindelse om de potentielle sikkerhedsrisici i verdenen af decentraliseret finans (DeFi).
Indflydelse på DApps, der bruger Ledgers forbindelse
Flere decentraliserede applikationer (DApps), der brugte Ledgers forbindelse, herunder Zapper, SushiSwap, Phantom, Balancer og Revoke.cash, blev kompromitteret. Cirka tre timer efter at sikkerhedsbruddet blev opdaget, rapporterede Ledger, at den skadelige version af filen var blevet erstattet med dens ægte version. Ledger råder nu brugerne til altid at ‘Klart Signere’ transaktioner og kun at stole på de oplysninger, der præsenteres på Ledger-skærmen. Hvis der er nogen uoverensstemmelse mellem de oplysninger, der vises på Ledger-enheden, og brugerens computer- eller telefon skærm, bør transaktionen straks standses.
Andre nylige DeFi-hændelser
Denne Ledger-sårbarhed var ikke den eneste nylige hændelse i DeFi-sektoren. Protokollen for decentraliseret finans Yearn.finance anmodede om, at arbitragehandlere returnerede $1,4 millioner i midler efter en multisignatur-scriptfejl tømte en betydelig del af protokollens kassebeholdning. På samme måde led OKX-decentraliseret børs (DEX) et $2,7 millioner hack, efter at den private nøgle til proxy-administratorejeren blev lækket.
Trods disse sikkerhedsbekymringer viser data fra Cointelegraph Markets Pro og TradingView, at DeFis top 100-tokens efter markeds kapitalisering havde en positiv uge, hvor de fleste handlede i plus på de ugentlige diagrammer. Den samlede værdi låst i DeFi-protokoller forblev over $60 milliarder.
Med den konstante udvikling af DeFi-rummet er det afgørende at holde sig informeret om de seneste udviklinger og potentielle sårbarheder. Platforme som cryptoview.io kan være en værdifuld ressource til at spore dine kryptoaktiver og holde dig opdateret med de seneste nyheder.
