Merkezi olmayan uygulama (Dapp) dünyasını sarsan ve çok sayıda merkezi olmayan finans (DeFi) platformunu etkileyen büyük bir güvenlik açığı tespit edildi. SushiSwap’in Baş Teknoloji Sorumlusu, Ledger ilişki kitinden kaynaklanan bir güvenlik açığı konusunda önemli bir ihtar yaptı. Bu gelişme kripto para topluluğu ortasında şaşkınlığa yol açtı.
SushiSwap CTO’su Ledger’ı suçladı ve kripto para topluluğunu uyardı
Ledger’ın bağlayıcısını kullanan ve ortalarında Zapper, SushiSwap, Balancer ve Revoke.cash’in de bulunduğu çok sayıda merkezi olmayan uygulamanın (DApp) ön ucu 14 Aralık’ta ele geçirildi. SushiSwap baş teknik sorumlusu Mathew Lilley, yaygın olarak kullanılan bir Web3 konektörünün ele geçirildiğini açıkladı. Ayrıyeten, bunun çok sayıda DApp’a makûs emelli kod enjekte edilmesine müsaade verdiğini bildirdi. On-chain analist, Ledger kütüphanesinin, bu kodun boşaltıcı hesap adresini eklediğini doğruladığını söyledi. Bu gelişmeler kripto para topluluğundan çeşitli reaksiyonlar aldı.
SushiSwap CTO’su, devam eden güvenlik açığı ve çoklu DApp’lerde uzlaşma için Ledger’ı suçladı. CTO, Ledger’ın içerik dağıtım sisteminin (CDN) tehlikeye girdiğini söyledi. Ayrıyeten, bunun akabinde müthiş bir kusurlar zincirinin geldiğini tez etti. CTO’ya nazaran, birinci olarak, yüklenen JS’yi sürüm kilitlemeden tehlikeye giren bir CDN’den java komut belgesi yüklediler.
Güvenlik açığı nasıl oluştu
Ledger connector, birçok DApp tarafından kullanılan ve Ledger tarafından sürdürülen bir kütüphane. Son gelişmede, bir kripto para cüzdan boşaltma kodu ekli durumda. Bu nedenle bir kullanıcının hesabını boşaltma süreci kendi başına gerçekleşmiyor. Bununla birlikte, bir tarayıcı cüzdanından (MM gibi) gelen istemler görüntülenerek, makus niyetli aktörlerin varlıklara erişmesini imkan sağlıyor.
DAppsOn-chain analistleri, kullanıcıları Ledger bağlayıcısını kullanan tüm DApp’lerden kaçınmaları konusunda uyardı. Bu doğrultuda, connect-kit-loader’ın da savunmasız olduğunu eklediler LedgerHQ/connect-kit kullanan rastgele bir DApp savunmasızdır. On-chain analistleri, bunun tek bir izole atak olmadığını söylüyorlar. Bunun yerine birden fazla dApp’e yönelik büyük ölçekli bir akın olduğunu belirtiyorlar.
Polygon Labs lider yardımcısı Hudson Jameson, Ledger’ın kütüphanelerindeki berbat kodu düzeltmesinden sonra bile, bu kütüphaneyi kullanan ve dağıtan kripto para projelerinin, Ledger’ın Web3 kütüphanelerini kullanan DApp’leri kullanmanın inançlı olması için birtakım şeyleri güncellemeleri gerekeceğini söyledi.
Ledger güvenlik açığını kabul etti
Bu ortada Ledger, kodundaki güvenlik açığını kabul etti. Bu bağlamda, Ledger Connect Kit’in makus hedefli bir sürümünü kaldırdıklarını söyledi. Birebir vakitte, şu anda makus hedefli evrakın yerine yepyeni bir sürüm yayınlanıyor. Bu doğrultuda Ledger, şu açıklamayı yaptı:
Ledger Connect Kit’in makus hedefli bir sürümünü tespit ettik ve kaldırdık. Şu anda berbat hedefli evrakın yerine orjinal bir sürüm yükleniyor. Şu an için rastgele bir dApp ile etkileşime girmeyin. Durum geliştikçe sizi bilgilendirmeye devam edeceğiz. Ledger aygıtınız ve Ledger Live tehlikede değil.