Отрова във Веригата за Доставки: Когато надеждните актуализации станат зловредни
Резюме: Вие сте супер предпазливи. Не посещавате съмнителни сайтове. Не пиратствате софтуер. Актуализирате само легитимен софтуер. И въпреки това ви хакват. Това е кошмарът на хака 'Ledger Connect Kit' и как да се предпазите от надеждни източници.
1. Инцидентът с Ledger Connect Kit
През декември 2023 г. крипто светът затаи дъх.
Ledger не беше хакнат директно. Беше хакната библиотека, която Ledger използваше.
Бивш служител стана жертва на фишинг. Хакерите получиха достъп до неговия NPM акаунт и качиха зловреден код в библиотеката @ledgerhq/connect-kit.
Изведнъж всеки сайт (SushiSwap, Revoke.cash и т.н.), който използваше най-новата версия на тази библиотека, започна автоматично да показва фалшив изскачащ прозорец на портфейла на потребителите.
Потребителите не направиха нищо лошо. Отидоха на правилния сайт, но сайтът зареди отровена „Верига за Доставки“ (Supply Chain).
2. Как работи
Съвременният софтуер е като Lego. Разработчиците не пишат целия код сами. Те теглят „Зависимости“ (Dependencies/Библиотеки) от други.
- Вашето приложение използва Библиотека А.
- Библиотека А използва Библиотека Б.
- Библиотека Б е компрометирана.
Хакерите обичат този метод, защото хакването на една библиотека им дава милиони жертви наведнъж.
3. Как да се предпазите (За Потребители)
Как да се предпазим от нещо, което заобикаля дори технологичните гиганти?
Правилото "Изчакай" (The Wait Rule)
Когато излезе голяма актуализация или нова функция, не бъдете първият, който актуализира.
Дайте на общността (и на Twitter/X Crypto Security) 24-48 часа за проверка. Ако има Supply Chain атака, новините ще се разпространят като горски пожар.
Двойна Проверка
Ако любимото ви dApp ви помоли да Разрешите (Enable) или Одобрите (Approve) нещо странно:
- Проверете техния Twitter.
- Проверете техния Discord.
- Проверете изследователите по сигурността в Twitter (като @zachxbt).
Ако навсякъде е тишина... вероятно е безопасно. Но ако всички крещят „НЕ СЕ СВЪРЗВАЙТЕ“ (DO NOT CONNECT), току-що бяхте спасени.
Заключение
В един взаимосвързан свят вашата сигурност зависи от най-слабото звено. Понякога е по-безопасно да бъдете „Late Adopter“, който не актуализира веднага, отколкото пионер.
Готови ли сте да използвате знанията си?
Започнете да търгувате с увереност, задвижвана от AI, днес
ЗапочнетеСвързани статии
Хартиеният Щит (The Paper Shield): Как правилно да архивирате Seed Phrase
Скрийншотите са катастрофални. Облакът е компютър на някой друг. Единственият сигурен начин за съхранение на частни ключове е 'Стомана' и 'Хартия'.
Дългата Измама (The Long Con): Психологията зад 'Pig Butchering'
Тя не изпрати съобщение на грешен номер. И не е влюбена във вас. Дълбоко потапяне в 'Sha Zhu Pan', най-жестоката крипто измама, и как да разпознаете сценария.
Не търгувайте там, където играете: Защо ви е необходим отделен Крипто Лаптоп
Вашият геймърски компютър е пълен със задни вратички. Телефонът ви е пълен с тракери. Защо закупуването на отделно 'банково устройство' за 200 долара е най-добрата застраховка.