Slow Mist: многие децентрализованные приложения (dApps) полагаются на отравленные библиотеки Ledger, поэтому будьте осторожны со всеми операциями, связанными с децентрализованными приложениями.

Ledger скомпрометирован. Не использовать кошелек до прояснения ситуации. Библиотека кошелька заменена на дрейнер.

Ledger: Мы обнаружили и удалили вредоносную версию Ledger Connect Kit.

Сейчас выпускается подлинная версия, которая заменит вредоносный файл. На данный момент не взаимодействуйте ни с какими децентрализованными приложениями. Мы будем держать вас в курсе по мере развития ситуации.

Ваше устройство Ledger и Ledger Live не были скомпрометированы.

Не взаимодействуйте с dApps!

Разработчики сообщают о взломе фронтенда децентрализованной биржи SushiSwap и инструмента Revoke Cash.

20 минут назад CTO SushiSwap сообщил что основной коннектор для web3 приложений был скомпрометирован. Речь идет о LedgerHQ/connect-kit, который размещен на GitHub.

Ждем подробностей. Рекомендуем вам не взаимодействовать сейчас ни с какими приложениями и кошельками. Это не взлом контракта, а массовая атака на все приложения, которые использовали этот коннектор. Среди них точно есть Zapper, SushiSwap и RevokeCash.

Russian OSINT на днях написал, что GoDaddy и Hetzner предупреждают своих клиентов из России о том, что скоро их обслуживание будет прекращено. О том же сообщают и Habr c VC.

А теперь, внимание, обратимся к анналам одного небольшого и скромного Телеграм-канала, посвященного вопросам информационной безопасности:

Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется. Ну а мы, как рядовые пользователи, будем огребать за компанию, потеряв при этом возможность пользоваться большей частью привычных нам сервисов.

11 июля 2020 года.

Ну и кто теперь тут Ванга, япона бога душу мать?! (secator)

Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах 👀

Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.

Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю кусок кода, где расположен импорт в самой библиотеке

Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)

Крупнейший взлом в Web3? 😱

Ledger допустил ужасные ошибки. Он загружает JS из CDN, не блокирует версию загруженного JS, а CDN был скомпрометирован.

Короче говоря, скомпрометирована библиотека Ledger, на которую загрузили дрейнер и на все протоколы, которые используют подключение кошелька через LedgerHQ/connect-kit загружают вредоносный код.

Поэтому, временно не взаимодействуйте ни с какими dApps и Ledger ‼️

ВТС в ХОЛОДное хранилище!

На теле советника президента Аргентины и родственника бывшего министра финансов Сантьяго Капуто есть «тюремная» татуировка на русском языке со словом «Сберкнижка». Об этом сообщает портал Noticias. Клаудио Капуто, бывший президент Коллегии нотариусов города Буэнос-Айрес разместил антикоммунистическую татуху из книги об истории криминального мира России.

Пользователи соцсети Х опубликовали фотографию Капуто, где на его предплечье хорошо видна надпись: «Хата, дача и сберкнижка, катер, тачка и гараж успокоит мою блаж».

Капуто боится, что у него из-за этой татухи будут проблемы в России. Хотя скорее наоборот - теперь он почти свой. banksta

🇪🇺 🇦🇹 🇷🇺⚡️Представитель Австрии блокировал принятие 12-го пакета санкций против России во время обсуждения ограничительных мер на саммите Евросоюза.

По его словам, Австрия будет накладывать вето на принятие пакета до тех пор, пока власти Украины не снимут санкции с австрийской финансовой группы Raiffeisen Bank International, сообщает Reuters.

Гоша Рубчинский стал новым главой дизайна YEEZY

Евросоюз это враг России. А на Украине у власти незаконный репрессивный режим, ведущий теракты против России. Поэтому переговоры ЕС с Украиной о вступлении в ЕС это враждебная России акция. Ни о каком уважении таких переговоров Россией не может быть и речи. Все результаты этих переговоров незаконны. (Марков)

Еще одно уголовное дело на дропа за оформление банковской карты.

На этот раз в городе Богдлановиче Свердловской области поймали парня за оформление 5 банковских карт.

Эти карты были переданы обнальщикам, которые через подконтрольные фирмы выводили деньги под видом фиктивной заработной платы.

Органами полиции возбуждено уголовное дело по ч. 1 ст. 187 УК РФ (неправомерный оборот средств платежей). tot115fz

Только в крипте вы можете найти человека, который, загружая дрейнер в публичную сеть, и затем взламывая десятки тысяч юзеров и воруя у них сотни тысяч, или даже десятки миллионов долларов, делает это с-под своей собственной, основной е-мейл учётки.

Создавая которую, он не нашел ничего лучше, как указать в ней собственное имя и страну проживания. (bitcoin quest channel - укр.)

Vsevolod
небольшое техническое уточнение:
Ledger оказался каналом для атаки, но под угрозой, похоже, все кошельки.
любое веб-приложение, которое использует ConnectKit, показывает плашку с предложением подключиться разными способами - ledger, walletConnect, metamask и так далее (и проспонсировать хакера после этого).
но не все проекты, которые используют EVM и Ledger, под угрозой. ConnectKit - это популярная, но не единственная библиотека для универсального подключения к кошелькам, а Ledger добавил поддержку себя к ним не так давно, старые проекты могли просто не обновляться пару месяцев и не оказаться под угрозой. Некоторые большие и не очень проекты используют другие универсальные коннекторы, а у кого-то самописные решения. Но на всякий случай лучше перестраховаться и не пользоваться ничем из веба (только из встроенного функционала в кошельках)

Мама Илона Маска обвинила президента Байдена в том, что он остановил попытки сына-миллиардера «сделать этот мир лучше». Федеральная комиссия по связи отказалась предоставить Starlink Маска $900 млн субсидий. banksta