Ledger出现重大安全事故,影响范围极广,甚至连Revoke.cash都受到了影响,攻击者已窃取约48.4万美元的资产。建议用户暂停EVM链上交互行为,直至Ledger澄清情况。Revoke.cash于X平台发文表示:“与Ledger ConnectKit库集成的多个常用加密应用程序(包括Revoke.cash)已受到损害。在进一步调查过程中,我们暂时关闭了该网站。我们建议在该漏洞利用期间不要使用任何加密网站。”
Ledger董事长兼首席执行官Pascal Gauthier就Ledger Connect Kit漏洞发布公开信,12月14日,Ledger在Ledger Connect Kit(一个用于将网站连接到钱包的Javascript库)上遭到漏洞利用,Ledger已与合作伙伴消除了该漏洞,并试图快速冻结被盗资金,该漏洞实际上运行了不到两个小时。此漏洞仅限于使用Ledger Connect Kit的第三方DApp,目前正在调查中,Ledger已提出投诉,并将帮助受影响的个人尝试追回资金。Ledger将支持受影响的用户,帮助找到攻击者并将其绳之以法,追踪资金,并与执法部门合作,帮助从黑客手中追回被盗的资产。
Ledger表示,正版Ledger Connect Kit 1.1.8版本已推送。确认Ledger和WalletConnect恶意代码已被停用。用户已可以安全使用Ledger Connect Kit,但建议等待24小时并清除浏览器缓存。
慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
1. Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。
4. 前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。
5. 需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。
本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。不为任何虚拟货币、数字藏品相关的发行、交易与融资等提供交易入口、指引、发行渠道引导等。
动动手指转发出去,让更多人知道!可能您的朋友就需要!转发分享+关注就是对我们最大的支持!感谢!
申明
本公号转载至网络 版权归原作者所有本号旨在宣导区块链基础知识,不构成任何投资建议
评论