حذرت شركة Ledger، المصنعة للمحافظ الرقمية على الأجهزة Hardware wallet، مستخدميها من الاتصال بالتطبيقات اللامركزية (dapps)، عقب تحديد نسخة ضارة من حزمة Ledger Connect Kit.
وأفاد متحدث باسم شركة Ledger بأنها قد حددت وأزالت نسخة ضارة من حزمة Ledger Connect Kit. ويجري حالياً استبدال الملف الضار بنسخة أصلية. و نصح بعدم التفاعل مع أي تطبيقات لامركزية في الوقت الحالي.
وأضاف المتحدث أن أجهزة Ledger وتطبيق Ledger Live لم يتعرضا للاختراق، وأن الشركة ستواصل إبلاغ المستخدمين بتطورات الوضع.
كما حذر مطور محفظة MetaMask المستخدمين و التوقف عن استخدام التطبيقات اللامركزية فور تداول أنباء الهجوم.
وتم تحديد النسخة المخترقة من حزمة أولاً من قبل مطورين نشروا على تويتر.Connect Kit، وهي مكتبة تمكّن محفظة Ledger الإلكترونية من الاتصال بتطبيقات اللامركزية dapps.
مكتبة Ledger Connect Kit هي مجموعة من الأدوات التقنية التي تطورها شركة Ledger. مصممة لتسهيل الاتصال بين محافظ Ledger الإلكترونية والتطبيقات اللامركزية (dapps).
من الأفضل التوقف عن استخدام التطبيقات المركزية في الوقت الحالي
أفادت شركة الأمن Web3 BlockAid بأن المهاجم قام بحقن برنامج خبيث لتفريغ المحافظ في حزمة NPM الخاصة بمجموعة ledgerconnect، مضيفة أن تطبيقات dapps التي تستخدم الإصدارات 1.1.4 وما فوق من مجموعة اتصال Ledger، بما في ذلك Sushi.com و Hey.xyz، تأثرت
كما انتقد ماثيو ليلي Matthew Lilley ، المدير التقني لـ SushiSwap، شركة Ledger مشيرا أنها ارتكبت سلسلة من الأخطاء الفادحة. موضحاً أن موصل ويب3 web3 connector .الذي يُستخدم بشكل شائع قد تم اختراقه، مما يسمح بإدخال رمز ضار يؤثر على العديد من التطبيقات اللامركزية.
أضاف أنه يجب على المستخدمين تجنب استخدام أي تطبيقات لامركزية حتى يؤكد فريقهم أنهم قد تمكنوا من التخفيف من الهجوم.
وقال مندوب مطوري الأثيريوم هادسون جيمسون Hudson Jameson إنه تم اختراق مكتبة تستخدمها العديد من تطبيقات dapps والتي تُدار من قبل Ledger وتم إضافة برنامج خبيث لتفريغ المحافظ (أخد الأموال منها).
وأعاد التأكيد على أنه يعتبر استخدام تطبيقات dapps حاليًا محفوفًا بالمخاطر إذا كنت لا تفهم المكتبات الخلفية التي يستخدمونها.
وأضاف جيمسون أنه حتى بعد أن تصحح Ledger الشيفرة السيئة في مكتبتها، يجب على المشاريع التي تستخدم وتنشر تلك المكتبة إلى تحديث الأمور قبل أن يصبح استخدام تطبيقات dapps التي تستخدم مكتبات web3 الخاصة بـ Ledger آمنًا.
مشاكل شركة Ledger السابقة مع الاختراقات الأمنية
واجهت Ledger انتقادات في الأشهر الأخيرة بشأن إجراءات الحماية لديها . حيث أثارت خدمة الاسترداد الطوعية القائمة على الهوية ID التي تقدمها الشركة غضب مستخدمي العملات المشفرة.
الخدمة، التي لا علاقة لها بهجوم اليوم، تقوم بتقسيم عبارة البذور seed phrase الخاصة بالمستخدم وتخزينها مع ثلاثة أوصياء منفصلين. مطالبة المستخدم بتقديم جواز سفره أو بطاقة هويته الوطنية كإثبات.
ومع ترك المستخدمين الغاضبين للخدمة . وصف إريك لارشيفيك، المؤسس المشارك لشركة Ledger. طرح الخدمة بأنه فشل تام في العلاقات العامة، لكنه ليس فشلاً تقنيًا بأي حال من الأحوال.
عبارة البذور seed phrase هي سلسلة من الكلمات العشوائية التي تستخدم لاستعادة واستعمال محفظة العملة الرقمية في حال فقدت الوصول إليها أو إذا كانت تحتاج إلى استعادة البيانات. هذه الكلمات تكون عادةً عبارة عن 12 كلمة أو 24 كلمة، وهي تولد بشكل عشوائي عند إعداد محفظة عملات رقمية جديدة.
في نوفمبر، تطبيق Ledger وهمي على متجر تطبيقات مايكروسوفت سرق ما يقرب من مليون دولار من عملاء . في حين واجهت الشركة انتقادات في عام 2020 بعد اختراق قاعدة بيانات عملاء على البريد الإلكتروني. مما أدى إلى تعرض أكثر من مليون بريد إلكتروني للمستخدمين للخطر.
إخلاء مسؤولية
جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.
