많은 소프트웨어 전문가들이 수요일 인기 웹 3 커넥터에 대한 해킹으로 여러 개의 인기 분산 응용 프로그램(dApp)이 손상되었다고 목요일에 확인했습니다.
스시스왑의 최고 책임자 매튜 릴리(Matthew Lilli)는 X에게 보낸 글에서 "추가 공지가 있을 때까지 어떤 dApp과도 상호 작용하지 마십시오."라고 경고했습니다. "수많은 dApp에 영향을 미치는 악성 코드를 주입할 수 있는 일반적으로 사용되는 web3 커넥터가 손상된 것으로 보입니다."
문제의 커넥터는 암호화폐 사용자가 모바일 지갑을 거래소 및 대출 플랫폼과 같은 분산된 앱에 연결할 수 있도록 해주는 인기 지갑 제공업체의 도구인 "레저 커넥터"입니다.
따라서 공격은 하나의 dApp에만 영향을 미치는 것이 아니라 Ledger의 연결 키트를 사용할 수 있는 모든 공격에 영향을 미칩니다.
그 직후 레저(Ledger)는 악성 코드가 식별되어 라이브러리에서 제거되었으며 사용자 지갑이 손상되지 않았음을 확인했습니다.
회사 측은 "현재 악성 파일을 대체할 정품 버전이 추진되고 있다"라고 밝혔습니다.
@bantg와 같은 다른 X 사용자는 레저의 소프트웨어 라이브러리가 손상되어 "drainer로 교체"되었으며 코드에 "minimalDrainValue"와 같은 새로운 필드가 삽입되었음을 미리 확인했습니다.
지난 몇 시간 동안 데이터베이스에 대한 새로운 업데이트 빈도를 감안할 때, 관찰자들은 실제 레저 회사가 책임이 있다고 믿지 않았습니다.
웹 3 보안업체 Remedy의 해커 관계 전문가인 @officer_cia에 따르면, 영향을 받은 일부 dApp에는 DFi 대시보드 재퍼와 "지갑 위생" 서비스인 Rocket.cash뿐만 아니라 Sushi도 포함되어 있다고 합니다.
디앱을 멀리하세요, 전문가 경고
Polygon Labs 부사장 Hudson Jameson은 해킹을 인정하고 암호화폐 사용자에게 dApp을 사용하지 말라고 경고했습니다. "이것은 진행 중인 상황이며 dApp이 사용하는 백엔드 라이브러리를 이해하지 못한다면 현재 dApp을 사용하는 것은 위험합니다."라고 그는 말했습니다.
dApp 웹사이트를 방문하는 것만으로는 사용자의 자금이 고갈될 수 없지만, MetaMask와 같은 브라우저 지갑의 특정 메시지는 사용자가 실수로 해커에게 자산을 몰수하도록 유도합니다.
“레저는 이 사실을 알고 있나요? 그렇습니다. 그들은 그렇게 하고 있으며 이를 위해 노력하고 있습니다.”라고 Jameson은 말했습니다. 그럼에도 불구하고 Ledger의 라이브러리를 사용하는 프로젝트는 Ledger가 악성 코드를 수정한 후에도 "업데이트"해야 합니다.
Ledger가 열악한 보안 관행으로 인해 비난을 받은 것은 올해 두 번째입니다.
지난 5월 Ledger는 "Ledger Recover" 지갑 서비스로 인해 비난을 받았는데, 이는 함께 제공되는 펌웨어 업데이트로 인해 사용자의 개인 키가 지갑에서 추출될 수 있다는 우려를 불러일으켰습니다.
비판이 식은 후 회사는 10월 말에 제품을 출시했습니다.
댓글