Репост из: dev.insuline.eth
Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах 👀
Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.
Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю кусок кода, где расположен импорт в самой библиотеке
Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)
Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.
Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю кусок кода, где расположен импорт в самой библиотеке
Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)