En büyük merkeziyetsiz finans (DeFi) protokollerinden Sushi’nin CTO’su, tüm endüstriyi etkileyen bir güvenlik açığına karşı uyarıda bulundu.
Sushi CTO’su Matthew Lilley, sosyal medya hesabından, “Bir sonraki duyuruya kadar HİÇBİR merkeziyetsiz uygulamayı (dApp) kullanmayın.” açıklamasını yaptı.
Lilley, “Görünüşe göre yaygın olarak kullanılan bir web3 connector’unun güvenliği ihlal edilmiş ve bu da birçok dApp’i etkileyen kötü niyetli bir kodun enjekte edilmesine yol açıyor.” dedi.
Sushi CTO’sunun açıklamalarına göre güvenlik açığına yol açan kod, donanım cüzdanı sağlayıcısı Ledger’ın Github profilinde görülebiliyor.
Blockaid’in ilk bulgularına göre ledgerconnect’e potansiyel olarak bir tedarik zinciri saldırısı yapılmış olabilir. Saldırganın, pakete dijital cüzdanları boşaltan bir kod eklediği aktarıldı.
Lilley, “LedgerHQ/connect-kit, bir CDN’den JavaScript (JS) yüklüyor, onların CDN hesabının güvenliği ihlal edildi ve birden fazla dApp’e kötü niyetli JS kodu enjekte ediyor.” dedi.
Lilley, bu güvenlik açığının yalnızca Sushi uygulamalarını mı etkilediği şeklindeki soruya, “Hayır, pratikte Ledger connector’ını (kullanan) tüm dApp’ler.” diyerek yanıt verdi.
Şüpheli kod yüzünden Sushi, Zapper ve Revoke Cash gibi DeFi sitelerinin etkilendiği bildiriliyor.