大型钱包Ledger遭恶意入侵 DeFi爆发安全漏洞 损失数额还在确认中

web3 黑客
Last updated:
作者
作者
Allen Li
关于作者

Allen从事媒体工作已有7年之久,曾在香港多家大报刊包括新传媒、香港01曾担任记者。 ...

Last updated:
为什么信任 Cryptonews
Cryptonews 已经覆盖加密货币行业超过十年,旨在为读者提供具有洞察力的信息。我们的记者和分析师在市场分析和区块链技术方面拥有丰富的经验。我们努力保持高标准的编辑准则,注重事实准确性和公正报道,涵盖从加密货币和区块链项目到行业事件、产品和技术发展的各个领域。我们在行业中的持续存在,体现了我们在数字资产不断发展的世界中提供相关信息的承诺。了解更多关于 Cryptonews 的信息
广告声明我们致力于为读者提供完全透明的信息。我们的一些内容包含附属链接,通过这些合作伙伴关系,我们可能会获得佣金。

大型钱包Ledger遭恶意入侵 DeFi爆发安全漏洞 损失数额还在确认中

数字货币领域的去中心化金融(DeFi)近期遭遇了一次严重的安全漏洞事件。 SushiSwap,一家去中心化交易平台的技术负责人Matthew Lilley于12月14日晚上发布消息,警告称广泛使用的Web3 Connector可能遭受了黑客的攻击。经进一步调查,这一安全问题与知名的加密货币钱包Ledger被恶意侵入有关。他特别提醒,为了安全起见,建议暂时避免与任何去中心化应用程序(Dapp)进行交互,以防资金遭受损失。

疑似前员工有份参与

关于这次攻击,区块链安全专家团队慢雾的创始人余弦在文章中进行了分析。他指出,在Ledger的ledgerhq/connect-kit的1.1.5版本中,黑客组织已经开始修改代码。虽然在这个版本中还没有加入恶意代码,但已包含了一些嘲讽性的信息。事后更总结了最大原因是前员工遗留重要的权限,内部安全管理机制要增强

他总结出以下5点:

  1. Ledger 被投毒的模块在 npmjs 平台上,前员工的 npmjs 账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
  2. 发布后的模块会自动更新到 jsDelivr CDN 下。
  3. Ledger 的 Connect Kit 直接引入了 jsDelivr CDN js 文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本
  4. 前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了…最坏原则,如果内部作恶,是否可以有效避免并及时发现。
  5. 需要注意下,虽然 Ledger npmjs 被投毒的版本已经删除,但目前在 jsDelivr 上还有带毒 js 文件:
    https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]
    https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]

Ledger:1.1.8版本已解決問題

目前最新消息,Ledger Support发布了一项更新声明,其中官方表示:“我们已全面推出了正版的Ledger Connect Kit 1.1.8版本。Ledger与WalletConnect已确认恶意代码已被禁用。现在,您可以放心使用Ledger Connect套件。”

然而,MetaMask官方则提出了谨慎的建议:“虽然Ledger已经解决了当前的问题,我们建议用户等待24小时后,再使用Ledger Connect套件与Dapp进行互动。”

至于投资者最关心的具体财务损失数额,官方目前还在进行确认。

https://www.youtube.com/watch?v=TgzTvhVWkR0

更多文章

新闻
“AI代理“概念币打开新浪潮 这款主打收入共享的代币一个月暴涨151%
Allen Li
Allen Li
2025-01-08 09:33:48
新闻
美国首例“混币”逃税被定案 需交出剩馀所有比特币私钥
Allen Li
Allen Li
2025-01-08 08:43:25
Crypto News in numbers
editors
作者列表 + 66 More
2M+
全球活跃月用户数
250+
指南和评测文章
8
在市场的年资
70
国际团队作者