SushiSwap(スシスワップ)CTO =DApps(ダップス)インタラクションは避けてと警告

SushiSwap(スシスワップ)CTOがDAppsインタラクション利用に警告

SushiSwap(スシスワップ)のマシュー・リリー(Matthew Lilly)CTO(最高技術責任者)、氏は X(旧Twitter)で警告し、他の多くの dApp(分散型アプリケーション)で侵害が確認されていることから、DApps(※dAppの複数形)とのやり取りを避けるようユーザーに求めている事が分かった。

仮想通貨分野におけるセキュリティインシデントは頻繁に発生しているものの、それらは単一のプロトコルに分離されており、多くのdAppに対する攻撃が継続しており、同氏はXを通じて次のように述べている。

日本語訳:
緊急警報:
追って通知があるまでは、いかなるdAppも操作しないでください。一般的に使用されているWeb3コネクタが侵害され、多数のdAppに影響を与える悪意のあるコードの挿入が可能になったようです。

同氏は後に、Ledger ConnectKitを使用するdAppsには脆弱性があることを明らかにしたうえで、次のように警告している。

日本語訳:
LedgerHQ/connect-kitを利用するdAppはすべて脆弱です。追って通知があるまでは、dAppを使用しないでください。これは単一の単独の攻撃ではなく、複数のdAppに対する大規模な攻撃です。

Web3セキュリティ会社のBlockaidは、Ledger ConnectKitに対するサプライチェーン攻撃の可能性を疑っており、次のように述べている。

攻撃者は、ウォレットを排出するペイロードを人気のあるNPMパッケージに挿入しました。これは現在、Hey.xyz や Sushi.comなど、いくつかの人気のあるDappsに影響を与えています。


明確になるまでは仮想通貨ウェブサイトの利用を避けるよう呼びかけ

Blockaidは、過去2時間で150,000ドル(約2,100万円)以上の資金が失われた事を明らかにしている。

また、トークン承認管理ツールを手掛けるRevoke.cashも侵害されたことを確認。一方で、さらに明確になるまでは仮想通貨ウェブサイトの利用を避けるようユーザーに呼びかけている。

リリー氏は、Ledger ConnectKitが「ひどい失策の連鎖」を犯したと述べ、この事件を3つのポイントに要約し、CDNからJSをロードしており、これらはバージョンロックされ、ロードされたJSではない。CDNが侵害されたと述べている。Ledgerは、ConnectKitの悪意のあるバージョンを特定して削除したことをユーザーに通知したうえで、Xにて次のように述べている。

日本語訳:
Ledger Connect Kitの悪意のあるバージョンを特定し、削除しました。
現在、悪意のあるファイルを置き換えるために正規のバージョンがプッシュされています。現時点ではdAp を操作しないでください。状況の進展に応じてお知らせいたします。
LedgerデバイスとLedger Liveは侵害されていません。

なお、Ledger デバイスとLedger Liveは侵害され邸内とのことだ。

ABOUTこの記事をかいた人

NEXT MONEY運営です。 「話題性・独自性・健全性」をモットーに情報発信しています。 読者の皆様が本当に望んでいる情報を 日々リサーチし「痒いところに手が届く」 そんなメディアを目指しています。