Merkezi olmayan uygulama (Dapp) dünyasını sarsan ve çok sayıda merkezi olmayan finans (DeFi) platformunu etkileyen büyük bir güvenlik açığı tespit edildi. SushiSwap’in Baş Teknoloji Sorumlusu, Ledger bağlantı kitinden kaynaklanan bir güvenlik açığı konusunda ciddi bir uyarı yaptı. Bu gelişme kripto para topluluğu arasında şaşkınlığa yol açtı.
SushiSwap CTO’su Ledger’ı suçladı ve kripto para topluluğunu uyardı
Ledger’ın bağlayıcısını kullanan ve aralarında Zapper, SushiSwap, Balancer ve Revoke.cash’in de bulunduğu çok sayıda merkezi olmayan uygulamanın (DApp) ön ucu 14 Aralık’ta ele geçirildi. SushiSwap baş teknik sorumlusu Mathew Lilley, yaygın olarak kullanılan bir Web3 konektörünün ele geçirildiğini açıkladı. Ayrıca, bunun çok sayıda DApp’a kötü amaçlı kod enjekte edilmesine izin verdiğini bildirdi. On-chain analist, Ledger kütüphanesinin, bu kodun boşaltıcı hesap adresini eklediğini doğruladığını söyledi. Bu gelişmeler kripto para topluluğundan çeşitli tepkiler aldı.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
SushiSwap CTO’su, devam eden güvenlik açığı ve çoklu DApp’lerde uzlaşma için Ledger’ı suçladı. CTO, Ledger’ın içerik dağıtım sisteminin (CDN) tehlikeye girdiğini söyledi. Ayrıca, bunun ardından korkunç bir hatalar zincirinin geldiğini iddia etti. CTO’ya göre, ilk olarak, yüklenen JS’yi sürüm kilitlemeden tehlikeye giren bir CDN’den java komut dosyası yüklediler.
Güvenlik açığı nasıl oluştu
Ledger connector, birçok DApp tarafından kullanılan ve Ledger tarafından sürdürülen bir kütüphane. Son gelişmede, bir kripto para cüzdan boşaltma kodu ekli durumda. Bu nedenle bir kullanıcının hesabını boşaltma işlemi kendi başına gerçekleşmiyor. Bununla birlikte, bir tarayıcı cüzdanından (MM gibi) gelen istemler görüntülenerek, kötü niyetli aktörlerin varlıklara erişmesini imkan sağlıyor.
DAppsOn-chain analistleri, kullanıcıları Ledger bağlayıcısını kullanan tüm DApp’lerden kaçınmaları konusunda uyardı. Bu doğrultuda, connect-kit-loader’ın da savunmasız olduğunu eklediler LedgerHQ/connect-kit kullanan herhangi bir DApp savunmasızdır. On-chain analistleri, bunun tek bir izole saldırı olmadığını söylüyorlar. Bunun yerine birden fazla dApp’e yönelik büyük ölçekli bir saldırı olduğunu belirtiyorlar.
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
Polygon Labs başkan yardımcısı Hudson Jameson, Ledger’ın kütüphanelerindeki kötü kodu düzeltmesinden sonra bile, bu kütüphaneyi kullanan ve dağıtan kripto para projelerinin, Ledger’ın Web3 kütüphanelerini kullanan DApp’leri kullanmanın güvenli olması için bazı şeyleri güncellemeleri gerekeceğini söyledi.
Ledger güvenlik açığını kabul etti
Bu arada Ledger, kodundaki güvenlik açığını kabul etti. Bu bağlamda, Ledger Connect Kit’in kötü amaçlı bir sürümünü kaldırdıklarını söyledi. Aynı zamanda, şu anda kötü amaçlı dosyanın yerine orijinal bir sürüm yayınlanıyor. Bu doğrultuda Ledger, şu açıklamayı yaptı:
Ledger Connect Kit’in kötü amaçlı bir sürümünü tespit ettik ve kaldırdık. Şu anda kötü amaçlı dosyanın yerine orijinal bir sürüm yükleniyor. Şu an için herhangi bir dApp ile etkileşime girmeyin. Durum geliştikçe sizi bilgilendirmeye devam edeceğiz. Ledger cihazınız ve Ledger Live tehlikede değil.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
