Újabb Ledger botrány - Kritikus sebezhetőséggel loptak pénzt hackerek

Újabb Ledger botrány - Kritikus sebezhetőséggel loptak pénzt hackerek
Illusztráció: Unsplash

A kriptóipar egyik legnagyobb neve, a Ledger támadást szenvedett a mai napon. A legfrissebb információink szerint a kár már most megközelítheti az egymillió dollárt.

A Ledger portfóliójához a fizikai hardvertárcán kívül számos alkalmazás is tartozik, ilyen például a Dapp Connect Kit, ami Ethereum, Solana és Polygon láncokon biztosít Ledger-kapcsolódási lehetőséget a webhárom alkalmazások számára. A web3-as kapcsolatot megteremtő alkalmazásokra égető szükség van, hiszen a hagyományos böngészők nem támogatják a blokklánc csomópontokkal történő közvetlen kapcsolatteremtést.

Sajnos a kapcsolatteremtés nem csak a felhasználó - alkalmazás - blokklánc hármast érinti. Az Dapp Connect Kit alkalmazás ugyanis külső, megbízhatatlan forrásból (egy CDN-szerverről) is használt fel adatokat a működése során. Ezeket az adatokat manipulálta egy szemfüles hacker, aki a kiszolgált tartalom lecserélésével ártalmas kódot juttatott a Ledger tárcákat az internettel összekötő alkalmazásba.

A Ledger állítólag már cikkünk megjelenése előtt javította a sebezhetőséget, azonban már most dollárszázezreket húzott le a csaló ártatlan kriptósokról.

Mivel a végfelhasználó számára nem egyértelmű, hogy melyik projekt webes felülete integrálta a Ledger megoldását, érdemes extrém óvatossággal eljárni bármilyen dapp esetén. A Solana egyik ismert fejlesztője továbbment, és X oldalán egyenesen azt kérte a DeFi felhasználóktól: semmilyen decentralizált alkalmazáshoz ne csatlakozzanak a napokban!

A sebezhetőség olyan platformokat is érintett, mint a kriptóeszköz-portfóliót mutató Zapper vagy a token hozzáférés (allowance) megtagadását lehetővé tevő Revoke Cash oldala.

A Ledger legnagyobb közösségi fórumán felhasználók tömegei hagyják ott a Ledgert, mondván, véglegesen elvesztették a bizalmukat a cégben.

A cég körül egyébként megszaporodtak a botrányok az utóbbi időben. Nemrég nyilvánosságra került, hogy a Ledger Live alkalmazás személyes adatokat gyűjt a felhasználók egyértelmű beleegyezése nélkül, valamint a Ledger pár hónapja új firmware frissítést erőszakolt a felhasználókra, ami lehetővé teszi, hogy a Ledger távolról kiolvassa a felhasználó privát kulcsát a fizikai eszközből.

🎁
Regisztrálj a ByBit kriptótőzsdén és zsebeld be a $10-$5000 értékű bónuszokat. Promóciós link:
https://partner.bybit.com/b/webharom
Ajánljuk még