Ledger, Connect Kit’in kötü amaçlı bir sürümünün tespit edilmesinin ardından kullanıcıları herhangi bir dapp’e bağlanmamaları konusunda uyardı.
Donanım cüzdanı üreticisi Ledger, Ledger Connect Kit’in kötü amaçlı bir sürümünün tespit edilmesinin ardından kullanıcıları merkezi olmayan uygulamalara (dapps) bağlanmamaları konusunda uyardı.
Ledger sözcüsü Decrypt’e şunları söyledi: “Ledger Connect Kit’in kötü amaçlı bir sürümünü tespit ettik ve kaldırdık. Şu anda kötü amaçlı dosyanın yerine orijinal bir sürüm gönderiliyor. Şu an için herhangi bir dApp ile etkileşime girmeyin.” Sözcü, Ledger cihazlarının ve Ledger Live uygulamasının tehlikeye atılmadığını ve firmanın “durum geliştikçe kullanıcıları bilgilendirmeye devam edeceğini” de sözlerine ekledi.
Yazılım cüzdanı geliştiricisi MetaMask da saldırı haberi üzerine kullanıcıları “merkezi olmayan uygulamalar’ı kullanmayı bırakmaları” konusunda uyardı.
Ledger donanım cüzdanının dapps ile bağlantı kurmasını sağlayan bir kütüphane olan Connect Kit’in ele geçirilmiş versiyonu ilk olarak Twitter’da paylaşım yapan geliştiriciler tarafından tespit edildi.
Web3 güvenlik firması BlockAid, Ledgerconnect kitinin NPM paketine “saldırganın bir cüzdan boşaltma yükü enjekte ettiğini” bildirdi ve Sushi.com ve Hey.xyz de dahil olmak üzere Ledger’in connect-kit’inin 1.1.4 ve üzeri sürümlerini kullanan dapp’lerin etkilendiğini ekledi.
SushiSwap CTO’su Matthew Lilley, Ledger’ı “korkunç hatalar zinciri” nedeniyle suçladı ve “yaygın olarak kullanılan bir web3 konektörünün güvenliği ihlal edildi ve bu da çok sayıda dApp’i etkileyen kötü amaçlı kodun enjekte edilmesine izin verdi” açıklamasını yaptı.
Kullanıcıların, “ekipleri saldırıyı hafiflettiklerini onaylayana kadar” herhangi bir dapp kullanmaktan kaçınmaları gerektiğini de sözlerine ekledi.
Ethereum çekirdek geliştirici irtibat görevlisi Hudson Jameson, “Ledger tarafından sürdürülen birçok dapp tarafından kullanılan bir kütüphane tehlikeye atıldı ve bir cüzdan boşaltıcı eklendi” açıklamasını yaptı. “Şu anda hangi arka uç kütüphanelerini kullandıklarını anlamadığınız dapp’leri kullanmanın riskli olduğunu” yineleyen Jameson, “Ledger kütüphanelerindeki kötü kodu düzelttikten sonra bile, Ledger’ın web3 kütüphanelerini kullanan dapp’leri kullanmanın güvenli olması için bu kütüphaneyi kullanan ve dağıtan projelerin bazı şeyleri güncellemesi gerekecek” diye ekledi.
Ledger geçtiğimiz aylarda güvenliği konusunda eleştirilere maruz kalmış ve firmanın gönüllü kimlik tabanlı Recover hizmeti kripto kullanıcılarının tepkisini çekmişti.
Bugünkü saldırıyla ilgisi olmayan bu hizmet, kullanıcının tohum cümlesini bölerek üç ayrı emanetçide saklıyor ve kullanıcının kimlik olarak pasaportunu ya da nüfus cüzdanını göstermesini gerektiriyor. Öfkeli kullanıcılar bu hizmeti bir “arka kapı” olarak nitelendirirken Ledger’ın kurucu ortağı Éric Larchevêque hizmetin kullanıma sunulmasını “tam bir halkla ilişkiler başarısızlığı ama kesinlikle teknik bir başarısızlık değil” olarak nitelendirdi.
Kasım ayında, Microsoft App Store’daki sahte bir Ledger uygulaması, şüphelenmeyen müşterilerden yaklaşık 1 milyon dolar çekerken, 2020’de firma, bir milyondan fazla kullanıcı e-postasının ele geçirildiği bir müşteri e-posta veritabanının saldırıya uğramasının ardından eleştirilerle karşı karşıya kaldı.
Bizi sosyal medya hesabımızdan takip etmeyi unutmayın