Ledger ออกอัปเดตซอฟต์แวร์แล้ว หลังถูกแฮ็กเกอร์ดูดเงินจากแอป Web3 สูญกว่า 4.84 แสนดอลลาร์
Ledger ออกอัปเดตซอฟต์แวร์แล้ว หลังถูกแฮ็กเกอร์ดูดเงินจากแอป Web3 สูญกว่า 4.84 แสนดอลลาร์
สำนักข่าวอีไฟแนนซ์ไทย- -15 ธ.ค. 66 11:49 น.
Ledger ออกอัปเดต Connect Kit เป็นเวอร์ชันล่าสุดแล้ว หลังถูกแฮ็กเกอร์ฝังโค้ดมัลแวร์จนสามารถดูดเงินออกจากแอป Web3 ต่าง ๆ ได้กว่า 484,000 ดอลลาร์
Ledger บริษัทผู้ผลิต Hardware Wallet สำหรับจัดเก็บคริปโท ได้ออกอัปเดตซอฟต์แวร์เวอร์ชันล่าสุดเป็น 1.1.8 แล้ว หลังจากที่ Ledger Connect Kit ซึ่งเป็น library ที่ใช้ในการเชื่อมต่อกับแอปพลิเคชันแบบกระจายอำนาจ (dApps) ได้ถูกสอดแทรกโค้ดมัลแวร์เข้าไป จนทำให้แฮ็กเกอร์สามารถขโมยเงินจากแอป Web3 ต่าง ๆ ได้กว่า 484,000 ดอลลาร์เมื่อวานนี้ (14 ธันวาคม)
โดยหลังจากที่ Ledger ได้รับรายงานก็มีการตอบสนองและแก้ปัญหาอย่างรวดเร็ว พร้อมกับได้รับความช่วยเหลือจาก WalletConnect และ Tether ในการระงับกระเป๋าของแฮ็กเกอร์รายนี้ ขณะที่ผู้ใช้ได้รับการแจ้งเตือนให้หลีกเลี่ยงการใช้ Ledger ในการทำธุรกรรมบน dApps ชั่วคราว เนื่องจากมีความเสี่ยงจะถูกดูดเงินออกจากวอลเล็ตได้
ทั้งนี้ Ledger ได้ออกมาระบุถึงเหตุการณ์ดังกล่าวผ่านแพลตฟอร์ม X ว่า มีอดีตพนักงานรายหนึ่งของบริษัทได้ตกเป็นเหยื่อของการหลอกลวงข้อมูล (phishing attack) จนทำให้ผู้โจมตีสามารถเข้าถึงบัญชี node package manager javascript ของพนักงานรายนี้ได้ และได้ฝังโค้ดมัลแวร์เข้าไปใน Ledger Connect Kit ในเวอร์ชันตั้งแต่ 1.1.5 ถึง 1.1.7
ในการโจมตีครั้งนี้ได้ส่งผลกระทบต่อโปรโตคอล DeFi ที่ใช้ Connect Kit จากการที่ผู้ใช้ถูกดูดเงินออกไป ไม่ว่าจะเป็น SushiSwap, Kyber, RevokeCash, และ Zapper รวมถึงหลายแอปอื่น ๆ โดยหลังจากที่มีการปล่อยอัปเดตเวอร์ล่าสุดออกมา ทาง Ledger แนะนำว่าให้รอจนครบ 24 ชั่วโมงก่อนจะใช้ Connect Kit อีกครั้งเพื่อความปลอดภัย
ที่มา: Coinpaprika, CoinDesk, Decrypt, Cointelegraph
* การลงทุนในสินทรัพย์ดิจิทัลมีความเสี่ยงสูง ผู้สนใจควรศึกษาข้อมูลและประเมินความเสี่ยงก่อนตัดสินใจลงทุน
รายงาน โดย Parinya Putthaisong เรียบเรียง โดย Parinya Putthaisong อนุมัติ โดย อนุรักษ์ ลีประเสริฐสุนทร
ดูข่าวต้นฉบับ