스시스왑의 CTO인 매튜 릴리는 트위터를 통해 사용자들에게 탈중앙화 애플리케이션(dApp)과의 상호작용을 피할 것을 당부하며 경고했습니다. 그 밖에도 많은 디앱에서 보안 침해가 확인되었습니다.
암호화폐 영역에서 보안 사고는 빈번하게 발생합니다. 그러나 이러한 사고는 단일 프로토콜에 국한되어 있습니다. 그러나 이 글을 쓰는 현재에도 많은 탈중앙화 애플리케이션(dApp)에 대한 공격이 계속되고 있습니다.
공격으로 인해 사용자들에게 디앱과의 상호작용을 피하라는 요청
릴리는 X(트위터)에 이렇게 썼습니다:
추후 공지가 있을 때까지 어떠한 dApp과도 상호작용하지 마세요. 일반적으로 사용되는 웹3 커넥터가 손상되어 수많은 디앱에 영향을 미치는 악성 코드가 삽입될 수 있는 것으로 보입니다.
나중에 스시스왑 CTO는 레저 커넥트키트를 사용하는 디앱이 취약하다고 밝혔습니다. 그는 경고했습니다:
이것은 하나의 고립된 공격이 아니라 여러 디앱에 대한 대규모 공격입니다.
더 읽어보세요:
웹3.0 보안 회사인 Blockaid는 Ledger ConnectKit에 대한 잠재적인 공급망 공격을 의심하고 있습니다. 다음과 같이 썼습니다:
공격자는 지갑을 탈취하는 페이로드를 인기 있는 NPM 패키지에 주입했습니다. 이 공격은 현재 Hey.xyz와 Sushi.com을 포함한 몇 가지 인기 디앱에 영향을 미쳤습니다.
또한, 블록에이드는 지난 2시간 동안 15만 달러 이상의 자금이 손실되었다고 비인크립토와 공유했습니다. 또한 리보크닷캐시(Revoke.cash)도 해킹을 당했다고 확인했다. 한편, 블록에이드는 사용자들에게 추가 확인이 있을 때까지 암호화폐 웹사이트 사용을 자제할 것을 촉구했습니다.
릴리는 레저가 “끔찍한 실수를 연쇄적으로 저질렀다”며 이번 사건을 세 가지로 요약하려고 했습니다. 그는 이렇게 말했습니다:
- CDN에서 JS를 로드하고 있습니다.
- 로드된 JS를 버전 잠금하지 않았습니다.
- CDN이 손상되었습니다.
마지막으로 Ledger는 악성 버전의 ConnectKit을 식별하고 제거했다고 사용자에게 알렸습니다. (트위터 )
현재 악성 파일을 대체할 정품 버전이 배포되고 있습니다. 당분간 어떤 디앱과도 상호 작용하지 마세요. 상황의 진전에 따라 계속 알려드리겠습니다.
레저 장치와 레저 라이브는 손상되지 않았습니다.
디앱 침해나 기타 사항에 대해 하실 말씀이 있으신가요? 저희에게 편지를 보내주시거나 텔레그램 채널에서 토론에 참여해주세요. 틱톡, 페이스북, X(트위터)에서도 만나보실 수 있습니다.
비인크립토의 최신 비트코인 (BTC) 분석을 보시려면 여기를 클릭하세요.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
