Największa giełda

SushiSwap padło ofiarą ataku front-end

Zgodnie z informacjami, exploit skłania użytkowników do połączenia portfeli poprzez wyskakujące okienko, co uruchamia funkcję drenowania tokenów. Dyrektor technologii Sushi ostrzega przed powszechnym exploitem związanym z zestawem Ledger‘s Connect Kit, który dotknął protokół zdecentralizowanych finansów (DeFi).

Firma Ledger, producent portfeli sprzętowych i dostawca oprogramowania, twierdzi, że zidentyfikowała i usunęła złośliwą wersję zestawu Ledger Connect Kit. Zestaw ten jest używany przez różne protokoły, takie jak Lido, Metamask i Coinbase, do łączenia aplikacji DeFi z portfelem sprzętowym. Exploit front-end umożliwia hakerom zmianę interfejsu użytkownika witryny lub aplikacji, a także modyfikację funkcji w celu przekierowania kapitału na własne potrzeby.

Matthew Lilley, CTO Sushi, zaleca unikanie interakcji z dowolnymi dAppami do czasu rozwiązania problemu. Istnieje podejrzenie, że popularne złącze web3 zostało naruszone, co pozwala na wprowadzenie złośliwego kodu wpływającego na wiele dAppów. Problemy z exploitami zgłoszono również na innych platformach DeFi, takich jak Zapper i RevokeCash.

„Nie wchodź w interakcję z ŻADNYMI dApps do odwołania” – napisał na X CTO Sushi Matthew Lilley. „Wygląda na to, że powszechnie używane złącze web3 zostało naruszone , co umożliwia wprowadzenie złośliwego kodu wpływającego na wiele dApps”.

Sushi w oficjalnym oświadczeniu informuje o krytycznym problemie w łączniku księgi głównej, który mógł zostać naruszony, umożliwiając wstrzyknięcie złośliwego kodu wpływającego na różne aplikacje dApp. Użytkownicy są ostrzegani przed niebezpieczeństwem, a w przypadku pojawienia się nieoczekiwanego wyskakującego okienka “Połącz portfel”, zaleca się unikanie interakcji.

Jeden z użytkowników zauważył, że biblioteka Ledgera została przejęta i zastąpiona modułem wypływu tokenów. Ledger zapewnia, że oryginalna wersja zestawu została przywrócona, zastępując złośliwy plik. Wszelkie interakcje z dAppami są na razie odradzane, a Ledger obiecuje informować o sytuacji w miarę postępu prac. Zapewnia również, że urządzenia Ledger i Ledger Live nie zostały naruszone.

Więcej informacji o sposobach działania oszustów znajdziesz na tej stronie.

Dodaj komentarz