Supply Chain Poison: Når betroede opdateringer bliver malware
Resumé: Du er super forsigtig. Du besøger ikke skyggefulde sider. Du bruger ikke piratsoftware. Du opdaterer kun legitim software. Og alligevel bliver du hacket. Dette er mareridtet med "Ledger Connect Kit"-hacket, og hvordan du beskytter dig mod betroede kilder.
1. Ledger Connect Kit-hændelsen
I december 2023 holdt kryptoverdenen vejret.
Ledger blev ikke hacket direkte. Et Bibliotek, som Ledger brugte, blev hacket.
En tidligere medarbejder faldt for phishing. Hackere fik adgang til hans NPM-konto og uploadede ondsindet kode til biblioteket @ledgerhq/connect-kit.
Pludselig begyndte hver hjemmeside (SushiSwap, Revoke.cash, osv.), der brugte den nyeste version af dette bibliotek, automatisk at vise en falsk wallet-popup til brugerne.
Brugere gjorde intet forkert. De gik til den rigtige side, men den side indlæste en giftig "Forsyningskæde" (Supply Chain).
2. Hvordan det virker
Moderne software er som Lego. Udviklere skriver ikke al kode selv. De henter "Afhængigheder" (Dependencies/Biblioteker) fra andre.
- Din app bruger Bibliotek A.
- Bibliotek A bruger Bibliotek B.
- Bibliotek B er blevet hacket.
Hackere elsker denne metode, fordi hacking af et bibliotek giver dem millioner af ofre på én gang.
3. Sådan beskytter man sig (For Brugere)
Hvordan beskytter vi os mod noget, som selv Tech-giganter overser?
Reglen "Vent" (The Wait Rule)
Når der kommer en stor opdatering eller ny funktion, vær ikke den første til at opdatere.
Giv communityet (og Twitter/X Crypto Security) 24-48 timer til at verificere. Hvis der er et Supply Chain Attack, spredes nyheden lynhurtigt.
Dobbeltcheck
Hvis din favorit-dApp beder om at Aktivere (Enable) eller Godkende (Approve) noget mærkeligt:
- Tjek deres Twitter.
- Tjek deres Discord.
- Tjek sikkerhedsforskere på Twitter (som @zachxbt).
Hvis det er stille overalt... er det sandsynligvis sikkert. Men hvis alle skriger "TILSLUT IKKE" (DO NOT CONNECT), så er du reddet.
Konklusion
I en forbundet verden afhænger din sikkerhed af det svageste led. Nogle gange er det sikrere at være en "Late Adopter", der ikke opdaterer med det samme, end at være en trendsetter.
Relaterede artikler
Papirskjoldet (The Paper Shield): Sådan sikkerhedskopierer du din Seed Phrase korrekt
Screenshots er katastrofale. Skyen er en andens computer. Den eneste sikre måde at opbevare dine private nøgler på er 'Stål' og 'Papir'.
The Long Con: Psykologien bag 'Pig Butchering'
Hun sendte ikke en sms til det forkerte nummer. Og hun er ikke forelsket i dig. Et dyk ned i 'Sha Zhu Pan', det grusomste nummer i krypto, og hvordan du genkender manuskriptet.
Handl Ikke Hvor Du Spiller: Hvorfor du har brug for en separat krypto-laptop
Din gamer-PC er fuld af bagdøre. Din telefon er fuld af trackere. Hvorfor køb af en separat 'bank-enhed' til $200 er den bedste forsikring, du kan få.