Supply Chain Poison: Wanneer vertrouwde updates malware worden
Samenvatting: Je bent super voorzichtig. Je bezoekt geen schimmige sites. Je gebruikt geen illegale software. Je updatet alleen legitieme software. En toch word je gehackt. Dit is de nachtmerrie van de "Ledger Connect Kit" hack en hoe je je beschermt tegen vertrouwde bronnen.
1. Het Ledger Connect Kit Incident
In december 2023 hield de cryptowereld zijn adem in.
Ledger werd niet rechtstreeks gehackt. Een Library die Ledger gebruikte werd gehackt.
Een voormalig werknemer trapte in een phishingval. Hackers kregen toegang tot zijn NPM-account en uploadden kwaadaardige code naar de @ledgerhq/connect-kit bibliotheek.
Plotseling begon elke website (SushiSwap, Revoke.cash, etc.) die de laatste versie van deze library gebruikte, automatisch een nep-wallet pop-up te tonen aan gebruikers.
Gebruikers deden niets verkeerd. Ze gingen naar de juiste site, maar die site laadde een giftige "Supply Chain" in.
2. Hoe het werkt
Moderne software is als Lego. Ontwikkelaars schrijven niet alle code zelf. Ze halen "Dependencies" (bibliotheken) van anderen binnen.
- Jouw app gebruikt Library A.
- Library A gebruikt Library B.
- Library B is gehackt.
Hackers houden van deze methode omdat het hacken van één bibliotheek miljoenen slachtoffers tegelijk oplevert.
3. Hoe te beschermen (Voor Gebruikers)
Hoe beschermen we ons tegen iets dat zelfs Tech Giants missen?
De "Wacht even" Regel (The Wait Rule)
Wanneer er een grote update of nieuwe feature is, wees niet de eerste om te updaten.
Geef de community (en Twitter/X Crypto Security) 24-48 uur om te verifiëren. Als er een Supply Chain Attack is, verspreidt het nieuws zich razendsnel.
Dubbelchecken
Als je favoriete dApp vraagt om iets vreemds te Enablen of Approven:
- Check hun Twitter.
- Check hun Discord.
- Check Twitter van beveiligingsonderzoekers (zoals @zachxbt).
Als het overal stil is... is het waarschijnlijk veilig. Maar als iedereen schreeuwt "DO NOT CONNECT", dan ben je gered.
Conclusie
In een verbonden wereld hangt je veiligheid af van de zwakste schakel. Soms is een "Late Adopter" zijn die niet onmiddellijk updatet, veiliger dan een trendsetter.
Klaar om Je Kennis in de Praktijk te Brengen?
Begin vandaag met vertrouwen AI-aangedreven handel
BeginGerelateerde Artikelen
Het Papieren Schild (The Paper Shield): Hoe je je Seed Phrase correct back-upt
Screenshots zijn desastreus. De Cloud is andermans computer. De enige veilige manier om je privésleutels te bewaren is 'Staal' en 'Papier'.
De Lange Zwendel (The Long Con): De Psychologie van 'Pig Butchering'
Ze appte niet het verkeerde nummer. En ze is niet verliefd op je. Een duik in 'Sha Zhu Pan', de wreedste zwendel in crypto, en hoe je het script herkent.
Handel Niet Waar Je Speelt: Waarom Je Een Aparte Crypto Laptop Nodig Hebt
Je gaming PC zit vol achterdeurtjes. Je telefoon zit vol trackers. Waarom het kopen van een apart 'banktoestel' van $200 de beste verzekering is die je kunt krijgen.