Sự cố bảo mật đáng kể của Web3
nhiều ứng dụng phi tập trung (dapps) đã bị ảnh hưởng do một lỗ hổng bảo mật trong phần mềm của Ledger. Vấn đề xuất phát từ một thư viện phần mềm bị tấn công liên quan đến nhà cung cấp ví phần cứng Ledger mà nhiều dapps phụ thuộc.
Lỗ hổng bảo mật cho phép mã độc hại được tiêm vào nhiều dapps trên giao diện người dùng, tạo ra một rủi ro đáng kể cho người dùng và tài sản của họ. Do đó, giao diện của nhiều dapps trở nên dễ bị tấn công. Các dự án như Kyber và RevokeCash xác nhận trên X (trước đây là Twitter) rằng họ đã tắt giao diện người dùng của mình như một biện pháp phòng ngừa.
Công ty an ninh Blockaid mô tả vụ việc này như một “cuộc tấn công chuỗi cung ứng” vào Ledger ConnectKit – trong đó, kẻ tấn công thay thế phần mềm thư viện bằng mã độc hại để lấy mất tài sản. Vấn đề có thể xuất phát từ việc tấn công một mạng phân phối nội dung (CDN) cụ thể chứa thư viện phần mềm nói trên, theo nhận định của Giám đốc Công nghệ Matthew Lilley của Sushi.
Blockaid ước tính khoảng 150.000 đô la đã bị mất trong vài giờ đầu của vụ việc, với giá trị tài sản bị đánh cắp sau đó tăng lên hơn nửa triệu đô la. Tether, công ty phát hành stablecoin, đưa địa chỉ của hacker vào danh sách đen.
Ledger đã phản ứng nhanh chóng, hoàn tất một bản vá phần mềm trong một bản cập nhật. Các dapps có thể cần áp dụng bản vá này để đảm bảo điều kiện an toàn. Ledger tuyên bố: “Chúng tôi đã xác định và loại bỏ phiên bản độc hại của Ledger Connect Kit. Một phiên bản đáng tin cậy đang được đẩy ra để thay thế tệp độc hại ngay bây giờ.”
Trong khi đó, cảnh báo từ các chuyên gia an ninh, bao gồm Lilley, khuyến cáo người dùng tránh tương tác với bất kỳ dapps nào cho đến khi có thông báo thêm. MetaMask, một trong những ứng dụng ví web3 phổ biến nhất, nhận thức rằng sự cố ảnh hưởng đến tất cả người dùng, không chỉ là người sử dụng Ledger. MetaMask đã triển khai một bản vá cho ứng dụng của mình và khuyến khích người dùng cập nhật lên phiên bản mới nhất.
Tether đã thực hiện việc đóng băng địa chỉ
Tether đã thực hiện việc đóng băng địa chỉ chứa tài sản bị đánh cắp bởi kẻ tấn công sử dụng thư viện mã nguồn mở của Ledger. Paolo Ardoino, Giám đốc Công nghệ của Tether, tiết lộ rằng địa chỉ đã bị đóng băng nhận được khoảng 483.000 đô la các loại tài sản, trong đó có 44.000 đô la USDT.
Ban đầu, vụ việc liên quan đến một lỗ hổng trong thư viện Ledger ConnectKit, ảnh hưởng đến giao diện người dùng của nhiều giao thức tài chính phi tập trung (DeFi). Các dự án nổi tiếng như Kyber và RevokeCash đã tắt giao diện người dùng của họ, và Giám đốc Công nghệ của Sushi Swap, Matthew Lilley, cảnh báo người dùng không tương tác với bất kỳ dapps nào vào buổi sáng thứ Tư.
Ledger nhanh chóng phát hành một bản vá, có sẵn trong phiên bản Ledger Connect Kit 1.1.8. Công ty t clarification cẩu rằng một nhân viên cũ đã bị tấn công bằng một cuộc tấn công lừa đảo, giúp kẻ tấn công có quyền truy cập vào tài khoản của họ và thêm mã mới.