Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах 👀 Под удар попал пакет леджера – Connect…

Очень интересный хак Web 3.0 фронтенда происходит прямо сейчас на наших глазах 👀

Под удар попал пакет леджера – ConnectKit, который используется для подключения Ledger Live к приложениям.

Пакет внутри себя загружает в глобальную область видимости js скрипт, расположенный на cdn.jsdelivr.net с дрейнером. Прикладываю кусок кода, где расположен импорт в самой библиотеке

Следовательно, если вы используете какую-то библиотеку для обработки подключения к Ledger Live – ваш фронтенд не безопасен и пользователи подвержены дрейну после авторизации (afaik заменено модальное окно подключения кошелька, так что владельцы любого кошелька в опасности, не только использующие Ledger Live)