Újabb Ledger botrány - Kritikus sebezhetőséggel loptak pénzt hackerek
A kriptóipar egyik legnagyobb neve, a Ledger támadást szenvedett a mai napon. A legfrissebb információink szerint a kár már most megközelítheti az egymillió dollárt.
A Ledger portfóliójához a fizikai hardvertárcán kívül számos alkalmazás is tartozik, ilyen például a Dapp Connect Kit, ami Ethereum, Solana és Polygon láncokon biztosít Ledger-kapcsolódási lehetőséget a webhárom alkalmazások számára. A web3-as kapcsolatot megteremtő alkalmazásokra égető szükség van, hiszen a hagyományos böngészők nem támogatják a blokklánc csomópontokkal történő közvetlen kapcsolatteremtést.
Sajnos a kapcsolatteremtés nem csak a felhasználó - alkalmazás - blokklánc hármast érinti. Az Dapp Connect Kit alkalmazás ugyanis külső, megbízhatatlan forrásból (egy CDN-szerverről) is használt fel adatokat a működése során. Ezeket az adatokat manipulálta egy szemfüles hacker, aki a kiszolgált tartalom lecserélésével ártalmas kódot juttatott a Ledger tárcákat az internettel összekötő alkalmazásba.
A Ledger állítólag már cikkünk megjelenése előtt javította a sebezhetőséget, azonban már most dollárszázezreket húzott le a csaló ártatlan kriptósokról.
Mivel a végfelhasználó számára nem egyértelmű, hogy melyik projekt webes felülete integrálta a Ledger megoldását, érdemes extrém óvatossággal eljárni bármilyen dapp esetén. A Solana egyik ismert fejlesztője továbbment, és X oldalán egyenesen azt kérte a DeFi felhasználóktól: semmilyen decentralizált alkalmazáshoz ne csatlakozzanak a napokban!
A sebezhetőség olyan platformokat is érintett, mint a kriptóeszköz-portfóliót mutató Zapper vagy a token hozzáférés (allowance) megtagadását lehetővé tevő Revoke Cash oldala.
A Ledger legnagyobb közösségi fórumán felhasználók tömegei hagyják ott a Ledgert, mondván, véglegesen elvesztették a bizalmukat a cégben.
A cég körül egyébként megszaporodtak a botrányok az utóbbi időben. Nemrég nyilvánosságra került, hogy a Ledger Live alkalmazás személyes adatokat gyűjt a felhasználók egyértelmű beleegyezése nélkül, valamint a Ledger pár hónapja új firmware frissítést erőszakolt a felhasználókra, ami lehetővé teszi, hogy a Ledger távolról kiolvassa a felhasználó privát kulcsát a fizikai eszközből.
https://partner.bybit.com/b/webharom
