Сегодня ряд децентрализованных бирж (DEX) были скомпрометированы.
В частности, пострадали SushiSwap, Zapper, RevokeCash — сейчас лучше никак не взаимодействовать с dapps.
Также библиотека кошелька Ledger была заменена на «дрейнер» (контракт кражи средств). Как оказалось, пострадала библиотека LedgerConnect — она была заменена на вредоносный контракт. «Под ударом» оказался ConnectKit, который используется для подключения Ledger Live к приложениям.
В конечном итоге коннектор Web3 был скомпрометирован, что позволяет внедрять вредоносный код, затрагивающий многочисленные децентрализованные приложения.
Аналитики рекомендуют воздержаться от любого взаимодействия с dapps до устранения угрозы. В то же время Curve Finance советует не использовать Ledger при взаимодействии с сайтом.
UPD: По сути, Ledger допустил ужасную ошибку. Он загружает JS из CDN, не блокирует версию загруженного JS, а CDN был скомпрометирован. В итоге в Connect Wallet вредоносное окно открывается прямо поверх реального:
Переходишь — теряешь.
Иначе говоря, при использовании библиотек для обработки подключения к Ledger Live, пользовательский фронтенд не безопасен и подвержен риску кражи средств после авторизации в dapps.
UPD: Ledger подтвердил взлом — разработчики устраняют проблему.
UPD2: В Ledger заявили, что обнаружили и удалили вредоносную версию Ledger Connect Kit — теперь работают над новой версией ПО, которая заменит вредоносный файл.
UPD3: Разработчики заявили, что проблема устранена.
