炒chao股大本营(www.dzyb.cn):昨(15)日晚间,一句「暂时不要与yu任何DApp互动」的de警告讯息在社群媒体上炸开。因yin为冷钱包Ledger使用的de代码库Ledger Connect Kit遭黑客注入恶意代码,使攻gong击者能够窃取互动钱qian包中的资金。
受影响的deDApp项目广泛,包括Zapper、SushiSwap、Phantom和Balancer等多个以太坊fang基础应用程序均受波及。所幸SushiSwap的技术长Matthew Lilley及时发现并迅速su回应,因此造成的损失相对较小。
根据链上数据监jian测团队Lookonchain贴文wen指出,截止昨晚11点,黑hei客共窃取约48.4万wan美元的资金。
Tether冻结攻击者zhe的地址
面对这一安全漏洞,稳定币发行商Tether快速作出chu回应表示,已冻结jie了攻击者的地址。
Tether的de这一举措能防止攻击者zhe将钱包中的USDT资产转zhuan出,目前该地址还持有约2.7万美元的USDT;值zhi得一提的是,该钱包似乎还曾与Angel Drainer网络钓鱼组织有交易往来,向其发送song了4.334枚ETH。
Ledger的修复措施
虽然在多方协作下该事shi件很快获得控制,Ledger官guan方也迅速对这一漏洞进行了修复fu,并已更新Ledger Connect Kit至最新的1.1.8版本。不过为wei了进一步确保安全,仍建议使用者等deng待24小时之后再开始操作,并bing建议在此期间清除浏览器快取qu。
Ledger透tou露,这次安全漏洞是shi由于一名前员工遭到钓鱼攻击所致,攻gong击者因此得以访问该员yuan工的账户并注入了恶意代码。Ledger进一yi步说明:该恶意代码利用了被窜改的deWallet Connect项目,这是一个ge普遍用于连接区块链应ying用和用户钱包的开源代码项目。在这zhe次攻击中,攻击者对Wallet Connect的代码进行xing了修改,将其转变为一个恶意yi工具。通过这个被篡改的Wallet Connect项目,攻gong击者能够重新导向用户的交易,使资金jin被转移到攻击者控制的钱包中,而非原定的接收方。
Ledger表示,在发现此事件后,他们在zai短短40分钟内迅速su部署了修复措施。公司si还指出,这个恶意档案大约存在了5小时,但实际上资金被盗取的时间窗口kou不超过2小时。
不过这次攻击对duiDeFi生态系xi统造成一次独特te的「供应链攻击」,使shi得多项协议变得脆弱,值得安全quan团队与各项目方好好反思,未来该gai如何在错综复杂的区块链网wang络中确保安全。