原文来源:币方社
币圈去中心化金融(DeFi)爆发大规模安全漏洞,去中心化交易所SushiSwap技术长Matthew Lilley在周四(12月14日)晚间发文警告,市场常用的Web3 Connector疑似遭黑客攻击,后续查明原因是因大型加密货币钱包Ledger遭恶意入侵有关,强调暂时不要与任何去中心化应用程序(Dapp)互动,以免资金出现风险。
“警告!请勿与任何Dapp交互,直至另行通知!看来常用的 Web3连结器已经遭到破坏,向众多的应用程序注入恶意代码,”Matthew重点写道。
在后续的更新中,他发现,问题主要出现在那些集成了“被投毒的 Ledger Connect套件”的应用程序上。
他解释说:“究竟发生了什么?简而言之,Ledger犯下一个可怕的错误,首先,他们正在从CDN加载JS。再者,这些JS并非来自正版。最后,他们的CDN受到攻击。”
Web3反诈平台Scam Sniffer也指出,看起来是加密货币钱包Ledger的ledgerhq/connect-kit npm遭到入侵,进一步证实了信息的可信度。
值得一提的是,稍晚0xScope合伙人0xSentry在推特补充表示,此次攻击事件很可能是Ledger前员工JunichiSugiura所导演的,因为攻击者在代码页留下的数位痕迹涉及到JunichiSugiura的谷歌电子邮件帐户。
经观察发现,此次攻击事件牵连范围广泛,不止是Sushi交易平台,去中心化交易所Kyber Network也提到,出于安全考虑,将暂时禁用其前端UI(User Interface)页面,直到情况明确为止。
另外,加密货币钱包小狐狸(MetaMask)也在发文表示,已发现对Ledger Connect Kit的攻击,并警告用户停止使用Dapp程序。
“如果你是MetaMask用户,请在MetaMask Portfolio上执行任何交易之前,确保你已在MetaMask Extension中打开Blockaid功能。MetaMask Portfolio团队正在处理该问题,并已制定修复方案,很快将推出,”MetaMask官方强调。
根据最新处理状况,Ledger在北京时间周四晚间9点30分左右发文表示,他们已识别并删除了Ledger Connect Kit的恶意版本,目前正更新版本以替换恶意文件,同时也警告用户暂时仍然不要与任何Dapp进行交互。
至于投资者最为关注的确切有多少金额损失,目前官方仍在确认中。
针对此次攻击事件,区块链安全团队慢雾创始人余弦稍晚发文分析表示,针对Ledger此次攻击的黑客组织米,在ledgerhq/connect-kit 1.1.5版本时就开始篡改代码,不过那时还并未植入恶意代码,仅是嘲讽类信息。
他称:“1.1.6版本时则开始植入恶意代码,后续又发布了带有病毒的1.1.7版本。”
当前未完成彻底排查前,提醒投资者与Dapp钱包、应用程序或任何相关的链接都必须谨慎,最好如Matthew所警告的,暂时不要与任何Dapp进行互动,避免资金曝露在风险中。
最新进展:
Ledger Support在周五发布更新,官方写道:“正版Ledger Connect Kit 1.1.8现已全面发布。 Ledger和WalletConnect可以确认恶意代码已被停用。你现在可以安全地使用Ledger Connect套件了。”
但MetaMask官方强调:“Ledger已解决了当前问题,但目前建议用户等待24小时,然后再使用Ledger Connect套件与Dapp进行交互。”
来源:金色财经