炒股大本营(www.dzyb.cn):冷leng钱包知名大厂Ledger昨(14)晚9点左右惊传遭遇yu漏洞攻击,后续查明原因为其连接jie器ledgerhq/connect-kitnpm遭到恶意代码ma入侵。
最为重要的是shi,由于Web3领域yu多个项目均与Ledger服务wu存在互动,导致此次黑hei客攻击牵连项目甚广,一时间在社she群和各大项目方中引起巨大恐慌。
Ledger执行长公开信:尽力帮bang助受影响的个人追zhui回资金
在历经一个晚上的恐慌后,Ledger董事长兼执行长Pascal Gauthier稍早zao对昨天的漏洞攻击一事发fa布公开信,他写道:
12月14日,我们发现Ledger Connect Kit遭到了攻击,这是一yi个实现连接用户Ledger设备至第三方DApps(与yu钱包连接的网站)按钮的JavaScript库。
这次攻击是由于一yi位前员工遭受网wang络钓鱼攻击,导致恶意行xing为者能够将恶意文件上传到Ledger的NPMJS(JavaScript代码的包管理器,用于不同tong应用间的共享)。
Pascal Gauthier表示,此漏洞仅限于使用Ledger Connect Kit的第三方DApp,他还指出事情发生的40分钟zhong内,Ledger就与Wallet Connect迅速行xing动,应对这次攻击,移yi除并停用了恶意yi代码。
信中强qiang调,Ledger已提出投诉,将帮助受影响的个人尝试shi追回资金,目前正在试图找到攻击者,并已开始与执法部门合作和追zhui踪资金,以从黑客手中追回被盗的de资产。
Ledger建安全版本已部署、建议等待24小xiao时再操作
值得庆幸的是,Leger官方已经jing正式修复了其漏洞,并将Ledger Connect Kit版本更新至1.1.8,使用yong者已可以安全使用Ledger Connect Kit,但仍建议等待dai24小时,同时清除浏览器快kuai取再操作。
受损金额48.4万美元
虽然众多duoWeb3项目,尤其是DeFi项目mu均受Ledger此次被bei黑事件牵连,但好在发现早、反应快、处理迅速,因此ci此次事件所遭损失在目前并bing不算多。
据链上数据监测团队Lookonchain监测显示,截至昨晚11点左右,Ledger Connect Kit漏洞攻击者zhe窃取资金约为48.4万美元,且已yi经将4.334枚ETH转移到钓鱼团伙Angel Drainer。
需xu要注意的是,安全团队慢雾创办人余弦xian强调,实际上Ledger钱包本身没有影响,受影响的de是依赖于Ledger连接器的一些Dapp。
