TechFlow tin tức, người sáng lập SlowMist - Dư Huyền đã đăng bài trên nền tảng X về sự cố lỗ hổng Ledger Connect Kit, nhấn mạnh các dự án cần lưu ý:
1. Module bị nhiễm độc của Ledger nằm trên nền tảng npmjs; tài khoản npmjs của nhân viên cũ bị tấn công lừa đảo chiếm quyền, cho phép kẻ tấn công tùy ý phát hành phiên bản module độc hại.
2. Module sau khi được phát hành sẽ tự động cập nhật lên CDN jsDelivr.
3. Ledger Connect Kit trực tiếp nhúng tệp JS từ CDN jsDelivr một cách thô sơ, không ràng buộc hàm băm tệp, không giới hạn nghiêm ngặt phiên bản được nhúng.
4. Việc nhân viên cũ vẫn còn giữ quyền truy cập quan trọng như vậy cho thấy cơ chế quản lý an ninh nội bộ cần được tăng cường; cần tuân thủ nguyên tắc phòng ngừa rủi ro cao nhất – nếu có hành vi ác ý nội bộ, liệu có thể ngăn chặn hiệu quả và phát hiện kịp thời hay không.
5. Cần lưu ý rằng, dù các phiên bản npmjs bị nhiễm độc của Ledger đã bị xóa, hiện tại trên jsDelivr vẫn còn tệp JS độc hại.
Những khuyến nghị an ninh này cung cấp bài học cho các dự án khác: đừng chủ quan, mỗi sự cố an ninh đều là cơ hội tốt để rà soát lại hệ thống của chính mình.
Chuyên sâu báo cáo Web3
Tôi muốn đăng bài
Yêu cầu phỏng vấn
Theo dõi chúng tôi
Cảnh báo rủi ro: mọi nội dung trên website này không cấu thành tư vấn đầu tư và chúng tôi không cung cấp bất kỳ dịch vụ tín hiệu hay dẫn dắt giao dịch nào. Theo thông báo của PBoC và 10 bộ ngành về việc tăng cường phòng ngừa rủi ro đầu cơ tiền mã hóa, xin hãy nâng cao ý thức rủi ro. Liên hệ: [email protected] Mã ICP: 琼ICP备2022009338号




