Что, если я вам скажу, что децентрализованная экосистема приложений (DApp) недавно находилась под угрозой из-за уязвимости Ledger? 14 декабря произошла цепочка событий, которая поставила под угрозу безопасность всей экосистемы DApp. Злоумышленник обнаружил и использовал уязвимость в библиотеке подключения кошелька Ledger, вызвав предупреждения от аналитиков и DApp, таких как SushiSwap и MetaMask, рекомендуя пользователям полностью избегать взаимодействия со своими кошельками.
Понимание атаки на Ledger
Атакующий, теперь известный как ‘Хакер Ledger’, смог вывести более $650 000 из нескольких жертв. Это было достигнуто путем манипулирования пользователями Web3 для одобрения вредоносных токен-транзакций. Хакер использовал фишинговую атаку, чтобы скомпрометировать компьютер бывшего сотрудника Ledger, получив доступ к его учетной записи узла пакетного менеджера javascript. Хотя выведенная сумма была значительной, она могла быть гораздо выше, учитывая количество уязвимых кошельков и DApp.
К счастью, компания Ledger была быстра в реагировании, выпустив патч в течение нескольких часов для устранения уязвимости Ledger в экосистеме DApp. Тем не менее, этот инцидент служит ярким напоминанием о потенциальных рисках безопасности в мире децентрализованных финансов (DeFi).
Влияние на DApp, использующие коннектор Ledger
Несколько децентрализованных приложений (DApp), использующих коннектор Ledger, включая Zapper, SushiSwap, Phantom, Balancer и Revoke.cash, были скомпрометированы. Примерно через три часа после обнаружения нарушения безопасности, компания Ledger сообщила, что вредоносная версия файла была заменена на подлинную. Ledger теперь рекомендует пользователям всегда ‘Четко подписывать’ транзакции и доверять только информации, представленной на экране Ledger. Если есть какое-либо расхождение между информацией, отображаемой на устройстве Ledger, и компьютером или телефонным экраном пользователя, транзакцию следует немедленно остановить.
Другие недавние инциденты в секторе DeFi
Уязвимость Ledger была не единственным недавним инцидентом в секторе DeFi. Протокол децентрализованных финансов Yearn.finance умолял арбитражных трейдеров вернуть $1,4 миллиона после того, как ошибка мультиподписи вывела значительную часть казны протокола. Точно так же, децентрализованная биржа (DEX) OKX пострадала от хакерской атаки на $2,7 миллиона после утечки закрытого ключа владельца прокси-админа.
Несмотря на эти проблемы безопасности, данные от Cointelegraph Markets Pro и TradingView показывают, что топ-100 токенов DeFi по капитализации провели бычью неделю, и большинство из них торговали в плюсе на недельных графиках. Общая стоимость заблокированных в протоколах DeFi средств оставалась выше $60 миллиардов.
С постоянным развитием пространства DeFi крайне важно быть в курсе последних событий и потенциальных уязвимостей. Платформы, такие как cryptoview.io, могут быть ценным ресурсом для отслеживания ваших криптовалютных активов и оставаться в курсе последних новостей.
