数字货币领域的去中心化金融(DeFi)近期遭遇了一次严重的安全漏洞事件。 SushiSwap,一家去中心化交易平台的技术负责人Matthew Lilley于12月14日晚上发布消息,警告称广泛使用的Web3 Connector可能遭受了黑客的攻击。经进一步调查,这一安全问题与知名的加密货币钱包Ledger被恶意侵入有关。他特别提醒,为了安全起见,建议暂时避免与任何去中心化应用程序(Dapp)进行交互,以防资金遭受损失。
疑似前员工有份参与
昨晚我重点提了下用户需要注意的点,现在提下项目方需要注意的:
1. Ledger 被投毒的模块在 npmjs 平台上,前员工的 npmjs 账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到 jsDelivr CDN 下。
3. Ledger 的 Connect Kit 直接引入了 jsDelivr CDN js… https://t.co/1JfFchQtlS pic.twitter.com/bSDr0sy3MA
— Cos(余弦)(@evilcos) December 15, 2023
关于这次攻击,区块链安全专家团队慢雾的创始人余弦在文章中进行了分析。他指出,在Ledger的ledgerhq/connect-kit的1.1.5版本中,黑客组织已经开始修改代码。虽然在这个版本中还没有加入恶意代码,但已包含了一些嘲讽性的信息。事后更总结了最大原因是前员工遗留重要的权限,内部安全管理机制要增强
他总结出以下5点:
-
Ledger 被投毒的模块在 npmjs 平台上,前员工的 npmjs 账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
-
发布后的模块会自动更新到 jsDelivr CDN 下。
-
Ledger 的 Connect Kit 直接引入了 jsDelivr CDN js 文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本
-
前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了…最坏原则,如果内部作恶,是否可以有效避免并及时发现。
-
需要注意下,虽然 Ledger npmjs 被投毒的版本已经删除,但目前在 jsDelivr 上还有带毒 js 文件:
https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]
https://cdn.jsdelivr.net/npm/@ledgerhq/[email protected]
Ledger:1.1.8版本已解決問題
UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger Support (@Ledger_Support) December 14, 2023
目前最新消息,Ledger Support发布了一项更新声明,其中官方表示:“我们已全面推出了正版的Ledger Connect Kit 1.1.8版本。Ledger与WalletConnect已确认恶意代码已被禁用。现在,您可以放心使用Ledger Connect套件。”
然而,MetaMask官方则提出了谨慎的建议:“虽然Ledger已经解决了当前的问题,我们建议用户等待24小时后,再使用Ledger Connect套件与Dapp进行互动。”
至于投资者最关心的具体财务损失数额,官方目前还在进行确认。
评论