The Crypto Times

DeFi Exchange DYdX NPM-Benutzerkonto wird gehackt

Eine Reihe von NPM-Paketen, die von der beliebten DeFi-Börse dYdX verwendet werden, scheinen gehackt worden zu sein, da entdeckt wurde, dass die Pakete illegalen Code enthalten, der, wenn er auf einem System installiert wird, Info-Stealer starten würde.

Der Schöpfer von Diffend.io, Maciej Mensfeld, ein Sicherheitsforscher beim Sicherheitsunternehmen Mend für die Softwarelieferkette, berichtete, zahlreiche beschädigte npm-Pakete entdeckt zu haben, die heimlich Info-Stealer installierten.

Dieser Exploit scheint das Ergebnis davon zu sein, dass der Angreifer die Kontrolle über das NPM-Konto eines dYdX-Mitarbeiters erlangt und es verwendet, um aktualisierte Versionen glaubwürdiger Pakete hochzuladen.

Das Benutzerkonto eines dYdX-Mitarbeiters hat am 23. September um 10:37 Uhr die aktualisierte Version 1.2.2 der NPM-Pakete „@dydxprotocol/perpetual“ eingereicht. Diese Version enthält ein neues Vorinstallationsskript.

Der Angreifer scheint über eine vordefinierte Reihe von Operationen zu verfügen, die er auf dem Computer des Opfers ausführen möchte, bevor er einen Kanal für die Ausführung willkürlichen Codes öffnet und im Wesentlichen seine Umgebungsvariablen und Anmeldeinformationen für zahlreiche Dienste stiehlt.

Durch das Hochladen der vergifteten Version 0.41.1 des Pakets „@dydxprotocol/solo“ wurde genau derselbe Angriff mit dem identischen Vorinstallationsskript durchgeführt.

Version 0.2.10 eines anderen Pakets, „@dydxprotocol/node-service-base-dev“, das gleichzeitig mit diesem Vorfall veröffentlicht wurde, war ähnlich infiziert.

Außerdem stimmt dieses Timing mit dem offiziellen Tweet von dYdX überein, der diesen Angriff ankündigt.

Brendan Chou, der leitende Architekt von dYdX, lobte Mensfeld dafür alarmieren sie auf die Schwachstelle schnell und erklärte, dass „alle [compromised versions] wurden außer abgebaut [email protected]”

Die Ethereum Smart Contracts und TypeScript-Bibliothek, die für das dYdX Solo Trading Protocol verwendet wird, besteht aus diesen Paketen.

dYdX berichtete, dass alle Gelder nach dem Vorfall sicher sind. Die Börse fügte hinzu, dass ihre Websites und Apps nicht kompromittiert wurden und der Angriff keine Auswirkungen auf Smart Contracts hatte.

Die Börse twitterte: „Erinnerung, dass dYdX keine Verwahrung von Benutzergeldern hat, die direkt in einen Smart Contract in der Blockchain eingezahlt werden.“



Quellenlink