- дата публікації
Зловмисні пакунки порожніми гаманцями користувачів dYdX
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Дослідники виявили, що зловмисники атакують dYdX, використовуючи шкідливі пакети для порожніх гаманців користувачів.
У звіті зазначається, що деякі відкриті пакети, опубліковані на npm та PyPi, містили код, що викрадав дані гаманців розробників dYdX та бекенду системи. dYdX — це децентралізована біржа деривативів, яка підтримує сотні ринків для безперервної торгівлі.
Дослідники з компанії безпеки Socket повідомили, що всі додатки, які використовують скомпрометовані версії npm, піддаються ризику.
Прямі наслідки атак включають повне зломлення гаманців та крадіжку криптовалюти.
Атака охоплює всі програми, що залежать від скомпрометованих версій, включаючи тестування розробників з реальними обліковими даними та кінцевих користувачів. Серед інфікованих пакетів — npm (@dydxprotocol/v4-client-js):(версії 3.4.1, 1.22.1, 1.15.2, 1.0.31) та PyPI (dydx-v4-client):(версія 1.1.5post1).
За даними Socket, платформа з моменту свого запуску від обсягу торгів перевищила 1,5 трильйона доларів з середнім обсягом торгів від 200 мільйонів до 540 мільйонів доларів.
Крім того, платформа має близько 175 мільйонів доларів відкритих позицій. Біржа надає кодові бібліотеки для сторонніх додатків, що дозволяють автоматизувати стратегії торгівлі, які включають мнемоніки або приватні ключі для підпису.
Шкідливе програмне забезпечення npm вбудувало шкідливу функцію в легітимний пакет, яка копіювала фразу для відновлення гаманця під час обробки. Дослідники відзначили, що отримували команди з домену dydx[.]priceoracle[.]site, який імітує законний сервіс dYdX через зміну написання.
Шкідливий код на PyPI також викрадав дані облікових записів, реалізуючи троянця для віддаленого доступу, що дозволяє виконувати нове шкідливе програмне забезпечення на вже скомпрометованих системах. Socket підкреслив, що з моменту установки зловмисники можуть виконувати будь-який код Python з привілеями користувача, викрадати SSH-ключі, API-дані та вихідний код.
Це останнє інцидент повторює чимало попередніх атак на dYdX, де платформа вже зазнавала атак у вересні 2022 року та у 2024 році, коли її сайт був зламано. Дослідники наголосили, що цей випадок підкреслює тривожну тенденцію атак на активи, пов’язані з dYdX, через надійні канали розподілу, і рекомендують всім користувачам уважно перевіряти всі додатки на залежності від шкідливих пакетів.