Acheter Cryptos
Payer en
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Trader
Type de trading
Spot
Échangez des cryptos librement
Alpha
Points
Obtenez des actifs prometteurs dans le cadre d'un trading on-chain rationalisé
Pre-Market
Trade de nouveaux jetons avant qu'ils ne soient officiellement listés
Marge
Augmentez vos bénéfices grâce à l'effet de levier
Conversion & Trading en blocs
0 Fees
Tradez n’importe quel volume sans frais ni slippage
Tokens à effet de levier
Soyez facilement exposé à des positions à effet de levier
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Demo Trading
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Acheter à bas prix et vendre à prix élevé pour tirer profit des fluctuations de prix
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Gestion de patrimoine VIP
La gestion qui fait grandir votre richesse
Gestion privée de patrimoine
Gestion personnalisée des actifs pour accroître vos actifs numériques
Fonds Quant
Une équipe de gestion d'actifs de premier plan vous aide à réaliser des bénéfices en toute simplicité
Staking
Stakez des cryptos pour gagner avec les produits PoS.
BTC Staking
HOT
Stakez vos BTC et gagnez 10 % d’APR
GUSD Minting
Use USDT/USDC to mint GUSD for treasury-level yields
Plus
Sujets populaires
Afficher plus81.66K Popularité
37.84K Popularité
19.62K Popularité
6.4K Popularité
3.84K Popularité
Hot Gate Fun
Afficher plus- MC:$3.54KDétenteurs:10.00%
- MC:$3.53KDétenteurs:10.00%
- MC:$3.53KDétenteurs:10.00%
- MC:$3.53KDétenteurs:10.00%
- MC:$3.53KDétenteurs:10.00%
Épingler
Bit Jungle : les failles de sécurité de Ledger ont affecté de nombreuses Dapps, et il est recommandé de réinstaller le système au lieu de simplement vider le cache
Vers 20h00, heure de Beijing, le 14 décembre 2023, plusieurs projets tels que SUSHI et RevokeCash ont émis des alertes de sécurité pour avertir les utilisateurs de ne pas interagir avec une DAPP.
Bit Jungle a été le premier à intervenir dans l’analyse et a constaté que les connecteurs de portefeuille de ces projets étaient intégrés au kit Ledger Connect, qui avait été trafiqué pour contenir du code malveillant pour voler de la monnaie virtuelle. Vers 21 heures, Ledger a publié la version 1.1.8 de Connect Kit, qui a supprimé le code malveillant.
Jusqu’à présent, le piratage a entraîné une perte totale d’environ 400 000 $ pour plusieurs utilisateurs.
Ce qui suit analysera le processus de mise en œuvre, la zone d’impact, le processus d’occurrence et l’équipe de lutte contre la criminalité de la vulnérabilité Ledger. **BitJungle recommande aux utilisateurs de réinstaller le système au lieu de simplement vider le cache pour résoudre plus en profondeur le problème Dapp affecté. **Pour un contenu et des points de vue plus approfondis, veuillez également prêter attention à la diffusion en direct à 20 h le vendredi 22 décembre, et veuillez consulter la section **"Aperçu de l’événement » au bas de cet article pour plus d’informations sur l’événement.
Quel est le problème avec Ledger
Un connecteur de portefeuille est un protocole ou un outil utilisé pour établir la communication et l’interaction entre les applications décentralisées (DApps) et les portefeuilles de crypto-monnaies. Son objectif principal est de simplifier le processus de gestion des actifs numériques entre les utilisateurs et les DApps, en permettant aux utilisateurs d’interagir avec divers services et applications décentralisés à l’aide de leurs portefeuilles de crypto-monnaies. Il est reflété dans le processus d’utilisation de l’utilisateur que lorsque la DApp interagit, la page se connectant au portefeuille s’affiche, comme le montre la figure ci-dessous
La page chargera le code de chaque connecteur, tel que WalletConnect, qui est le plus utilisé.
Le code qui a été modifié de manière malveillante cette fois-ci est le connecteur de Ledger (Ledger Connect Kit), un kit de développement logiciel (SDK) conçu pour aider les développeurs à intégrer les portefeuilles matériels Ledger (tels que Ledger Nano S, Ledger Nano X, etc.) dans leurs applications. Il fournit une gamme d’API et d’outils qui permettent aux développeurs d’interagir avec les portefeuilles matériels Ledger pour une gestion plus sûre et plus fiable des ressources numériques.
De nombreux sites DApp utilisent cette bibliothèque pour se connecter aux portefeuilles matériels Ledger, et certains sites (tels que SushiSwap et Revoke.cash) ont rapidement mis leurs sites hors ligne et supprimé les bibliothèques concernées.
Comment le code Ledger apparaît-il
Après vérification par Bitjungle, il a été constaté que les sites Web affectés mentionnés ci-dessus étaient chargés avec des connecteurs de portefeuille de registre et ont été attaqués par la chaîne d’approvisionnement, et le code introduit par le projet est le suivant :
[.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1
À 21h10, heure de Beijing, j’ai vu la dernière mise à jour sur la page de publication npm de Ledger il y a deux heures, et selon les vérifications, il a été constaté que les versions 1.1.5 à 1.1.7 étaient toutes des modifications malveillantes.
À l’heure actuelle, la version malveillante a été supprimée par Ledger le 15 décembre, heure de Pékin
LE PRÉSIDENT ET CHEF DE LA DIRECTION DE LEDGER, PASCAL GAUTHIER, A DÉCLARÉ QUE D’ANCIENS EMPLOYÉS AVAIENT ÉTÉ VICTIMES D’HAMEÇONNAGE.
Source:
Flux de fonds impliqués dans l’affaire
À l’heure actuelle, l’adresse de Ledger Exploiter (0x658729879fCa881D9526480B82aE00EFc54B5c2d) a encore 330 000 $ d’actifs en réserve
Parmi ceux-ci, 4 334 ETH sont allés dans les portefeuilles chauds d’Angel Drainer, une équipe de vol de monnaie virtuelle bien connue
L’attaque de détournement DNS Balancer de septembre 2023 et l’attaque de détournement DNS Galxe d’octobre 2023 ont toutes deux été associées à l’équipe.
Angel Drainer, en tant que fournisseur de plate-forme (CaaS) pour les services criminels, ne peut fournir que du code malveillant pour voler de la monnaie virtuelle pour cette attaque, et il peut y avoir d’autres équipes qui exploitent et publient réellement le code malveillant NPM.
Mesures d’urgence suggérées
Fête du portefeuille
Il est nécessaire d’assurer la sécurité du réseau de l’environnement de développement et de mise en production pour éviter les attaques de la chaîne d’approvisionnement.
La version doit être verrouillée dans le code et n’utilisez pas @1 pour charger automatiquement la dernière version. Par exemple, l’option « [.] jsdelivr[.] net/npm/@ledgerhq/connect-kit@1」
Mettez régulièrement à jour les comptes clés et activez l’authentification multifacteur.
Effectuer des audits de sécurité réguliers du code et des processus de développement.
Utilisateurs
Évitez d’interagir avec les DApps jusqu’à ce que Ledger soit complètement corrigé
Une fois le Ledger corrigé, effacez le navigateur local (mobile et ordinateur) et le cache de l’application DApp
En raison de l’obscurcissement du code malveillant, le code malveillant peut également obtenir des autorisations d’appareil en même temps, ** Il est fortement recommandé de réinstaller le système pour résoudre plus complètement le problème affecté de Dapp **
Fête du projet
BIT JUNGLE Avis d’événement
Mesures d’urgence en cas d’incident de sécurité du registre
Bit Jungle : Prévoyez d’investir 60 millions pour développer un portefeuille matériel
Sujets à aborder
Pourquoi l’incident de sécurité du portefeuille Ledger s’est-il produit ?
Quels gènes une bonne entreprise de portefeuille devrait-elle avoir ?
L’idée derrière le plan de Bit Jungle d’investir 60 millions pour créer une entreprise de portefeuille
Comment écouter
Vendredi 22 décembre 20h Scannez le QR code 👇 de l’affiche ci-dessous