CTO Sushi: “Nhiều DApp có nguy cơ bị hack vì kho dữ liệu của Ledger”

Ngày 14/12, Matthew Lilley đã lên tiếng cảnh báo cộng đồng về vụ việc trên Twitter cá nhân. Ông cho rằng không chỉ giao thức DeFi mà bất cứ DApp nào liên quan đến thư viện dữ liệu Web3 của Ledger đều có thể bị ảnh hưởng. 

Ledger Connect Kit cho phép các nhà phát triển kết nối DApp của họ với ví cứng Ledger bằng cách sử dụng Ledger Extension hay Ledger Live. 

Lilley nói thêm rằng mã độc đáng ngờ bắt nguồn từ trang GitHub của nhà cung cấp ví phần cứng Ledger. Một người dùng Twitter cũng chỉ ra rằng thư viện của Ledger đã bị xâm phạm và được thay thế bằng công cụ rút tiền (token drainer).

“Tôi sẽ không tương tác với bất kỳ DApp nào cho đến khi có thông báo mới từ Ledger. Có vẻ như một Web3 connector thường được sử dụng đã bị xâm phạm, khiến nhiều DApp có nguy cơ bị nhiễm mã độc”, CTO của Sushi viết trên Twitter. 

Front-end attack (tấn công giao diện người dùng) xảy ra khi hacker thay đổi giao diện của website hoặc ứng dụng. Sau đó, hacker có thể thay đổi chức năng trên nền tảng để tùy ý di chuyển tài sản. Tuy nhiên, kẻ tấn công sẽ không có quyền truy cập vào ví nóng của giao thức.

Đến 20h30 cùng ngày, Ledger cũng đã xác nhận vấn đề trên kênh Twitter chính thức. Trong thông báo, dự án cho biết đã phát hiện và loại bỏ phiên bản nhiễm mã độc của Ledger Connect Kit. Dự án đang chuẩn bị phiên bản mới để thay thế kho dữ liệu cũ.

Bên cạnh đó, Ledger khuyến cáo người dùng tạm thời không tương tác với các DApp. "Chúng tôi sẽ thông báo cho cộng đồng khi có cập nhật mới. Ví Ledger và Ledger Live của người dùng sẽ không bị xâm phạm", dự án tuyên bố.

Đọc thêm: binance Philippines có thể ngừng hoạt động sau 3 tháng