Proiectele DeFi sunt în prezent în stare de alertă maximă după avertismentele venite din partea Directorului Tehnic al Sushi, Matthew Lilley, despre un hack răspândit care implică Kitul de Conectare Ledger.
Această problemă critică a afectat mai multe protocoale DeFi, inclusiv SushiSwap, ducând la un exploit de front-end.
Avertisment urgent pentru utilizatori
Lilley a sfătuit utilizatorii prin X să evite interacțiunea cu orice aplicații descentralizate (dApps) până la noi notificări.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
El a dezvăluit că un conector web3 comun utilizat de aceste aplicații a fost compromis, permițând injectarea de coduri malițioase. Această breșă are potențialul de a afecta numeroase dApps.
Un exploit de front-end implică de obicei hackeri care modifică interfața utilizator (UI) a unui site web sau aplicație, permițându-le să devieze fonduri în conturile lor.
Important este că astfel de exploituri nu oferă acces la portofelele calde ale protocolului, ci manipulează UI-ul pentru a induce în eroare utilizatorii.
Codul suspect provine de pe pagina GitHub a furnizorului de portofele hardware Ledger. Rapoartele indică faptul că biblioteca Ledger a fost compromisă și înlocuită cu un drenor de tokenuri.
Acest exploit îi determină pe utilizatorii neinformați să-și conecteze portofelele printr-un pop-up, activând drenorul.
Mai multe site-uri web DeFi, inclusiv Zapper și RevokeCash, au raportat probleme similare.
Ledger a confirmat compromiterea bibliotecii sale ConnectKit și lucrează activ la înlocuirea fișierului malițios cu o versiune autentică. Utilizatorii sunt îndemnați să se abțină de la interacționarea cu orice dApps între timp.
Banteg, unul dintre dezvoltatorii principali ai Yearn.finance, a confirmat compromiterea, afirmând că atacatorii au infiltrat numeroase biblioteci țintind doar kitul de conectare. El a subliniat necesitatea precauției și a sfătuit așteptarea până când situația devine mai clară.
Atât SushiSwap cât și Revoke Cash au recunoscut impactul incidentului asupra platformelor lor. Ei au sfătuit utilizatorii să se abțină de la interacționarea cu frontend-urile lor până la o rezoluție.
Hudson James, un VP la Polygon Labs, a reiterat avertismentele și a sfătuit să nu se interacționeze cu frontend-urile dApp-urilor de pe site-uri web. El a subliniat riscurile continue asociate cu utilizarea dApps fără a înțelege bibliotecile backend pe care le utilizează.