Những thông tin chính về vụ hack của Ledger

Nhiều ứng dụng dựa trên Ethereum bao gồm Zapper, SushiSwap, Phantom, Balancer và Revoke.cash đã bị xâm phạm vào sáng thứ Năm do một lỗ hổng bảo mật của Ledger.

Ledger, nhà sản xuất ví điện tử tiền điện tử có trụ sở tại Paris, cho biết họ đã khắc phục mã độc hại ngay sau đó — công ty cũng cảnh báo người dùng "Clear Sign" giao dịch, một cách để đảm bảo bạn đang tương tác trực tiếp với trang web và phần mềm của công ty.

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.

Your Ledger device and…

— Ledger (@Ledger) December 14, 2023

Hiện chưa rõ có bao nhiêu ứng dụng phi tập trung (dapps) đã bị ảnh hưởng, hoặc đã mất bao nhiêu tiền. Các báo cáo ngẫu nhiên trên mạng xã hội cho thấy cuộc tấn công lợi dụng đã lan rộng. Blockaid, một công ty an ninh blockchain, cho biết hơn 150,000 đô la tiền điện tử đã bị mất do cuộc "tấn công chuỗi cung ứng" độc đáo này vào Ledger's Connect Kit, mà được triển khai trên toàn hệ sinh thái tài chính phi tập trung (DeFi).

Matthew Lilley, Giám đốc Công nghệ của Sushi, viết trên X/Twitter, một trong những người đầu tiên công nhận cuộc tấn công:

“Đừng tương tác với BẤT KỲ dApps nào cho đến khi có thông báo tiếp theo. Dường như một bộ kết nối Web3 phổ biến đã bị xâm phạm, cho phép chèn mã độc hại ảnh hưởng đến nhiều dApps.”

🚨🚨🚨 RED ALERT 🚨🚨🚨:

Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.

— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023

Các vụ hack là một sự kiện phổ biến trong thế giới tiền điện tử, đặc biệt là trong thế giới DeFi tự do, nơi phần mềm tài chính thường xuyên được triển khai mà không có mức độ kiểm định và kiểm thử phù hợp cũng như được sử dụng bởi những người không có kiến thức để thực hiện nghiên cứu tư duy đúng đắn. Các đối tượng tập trung, tức các công ty như Ledger, cũng là mục tiêu phổ biến cho các cuộc tấn công.

Những sự việc này là một vết nhơ cho ngành công nghiệp, ảnh hưởng không chỉ đến những người và dự án thực tế mà còn đến uy tín của tiền điện tử. Tiên phong internet và chuyên gia an ninh Steve Gibson theo dõi những vụ hack tiền điện tử trên podcast phổ biến "Security Now," mà ông làm đồng chủ trì với đồng nghiệp huyền thoại công nghệ Leo Laporte, và gần đây ông nói rằng bất kỳ ngành công nghiệp nào có một danh sách liệt kê về các vụ hack lớn nhất nên được đối xử với sự nghi ngờ cực kỳ.

Tuy nhiên, đôi khi vẫn có những điều tích cực từ những vụ tấn công tiền điện tử. Những sự kiện này, mặc dù đen tối, cũng có thể là những khoảnh khắc của sự hài hước và cơ hội cho những chuyên gia tiền điện tử giàu kinh nghiệm trình bày kỹ năng của họ và những lợi ích tích hợp của blockchain. Hầu hết các giao dịch tiền điện tử không thể đảo ngược, nhưng những kẻ tấn công có thể bị đặt vào tình huống khó khăn khi thực sự tận dụng những lợi ích không lành mạnh của họ.

Tether, tổ chức phát hành stablecoin lớn nhất, ví dụ, thông báo rằng họ đã đóng băng địa chỉ của trình duyệt vài giờ sau vụ hack, điều này nói lên khả năng của những người theo dõi trên chuỗi để tìm ra và tạo áp lực lên những kẻ tấn công.

Tether just froze the Ledger exploiter address

— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023