加密货币连接库漏洞 DApp遭攻击需紧急修补

在2023年12月18日，多个去中心化应用程序(DApps)的前端，其中包括Zapper、SushiSwap、Phantom、Ballancer和Revoke.cash，在使用Ledger连接器时受到了入侵。在发现安全漏洞近三个小时后，Ledger报告称，恶意版本的文件已于UTC时间下午1:35左右被替换为其正版版本。

Ledger提醒用户始终清除签名交易，并补充说，Ledger屏幕上的地址和信息是唯一真实的信息。如果您的Ledger设备屏幕和您的电脑/手机屏幕显示的内容有差异，请立即停止交易。

SushiSwap首席技术官Matthew Lilley是第一个报告此问题的人。他指出，一个常用的Web3连接器被入侵，恶意代码被注入到许多DApps中。链上分析师表示，Ledger库证实了该漏洞，其中易受攻击的代码插入了排水器账户地址。

在这次事件中，Ledger连接器的安全漏洞可能对许多使用该连接器的DApps造成了严重影响。攻击者可能会利用这个漏洞来窃取用户的数字资产或者执行其他恶意行为。因此，Ledger和相关DApps团队需要尽快采取措施修复漏洞并保护用户的数据安全。同时，用户也需要保持警惕，谨慎使用数字资产，并确保他们使用的DApps是安全的。

红色警报：

在进一步通知之前，不要与任何dApp进行交互。似乎一个常用的web3连接器已被入侵，允许恶意代码注入，影响众多dApp。

— 我就是软件 (@MatthewLilley) 2023 年 12 月 18 日

Lilley将Ledger归咎于多个DApps持续存在的漏洞和妥协。这位高管声称，Ledger的内容分发网络受到了攻击，JavaScript是从受攻击的网络加载的。

看起来像是账簿

——骗局嗅探器| Web3反诈骗(@realScamSniffer) 2023年12月18日

Ledger connector是一个由许多DApps使用并由Ledger维护的库。添加了一个钱包排水器，因此从用户帐户中提取资产可能不会自行发生。但是，像MetaMask这样的浏览器钱包会显示提示，并可能使恶意行为者访问资产。

Lilley警告用户避免使用Ledger连接器的任何DApps，并补充说“连接套件”也很容易受到攻击，这不是一次单独的攻击，而是对多个DApps的大规模攻击。

红色警报：

在进一步通知之前，不要与任何dApp进行交互。似乎一个常用的web3连接器已被入侵，允许恶意代码注入，影响众多dApp。

— 我是软件 (@MatthewLilley) 2023年12月18日

Lilley 指责 Ledger 在多个 DApp 上持续存在的漏洞和妥协。这位高管声称，Ledger 的内容分发网络受到了攻击，JavaScript 从受到攻击的网络中加载。

看起来Ledger的@ledgerhq/connect-kit npm包被黑客攻击了，最新发布是在2小时前。

— 骗局嗅探器 | Web3反诈骗 (@realScamSniffer) 2023年12月18日

Ledger connector是一个由许多DApps使用并由Ledger维护的库。添加了一个钱包排水器，因此从用户帐户中提取资产可能不会自行发生。但是，像MetaMask这样的浏览器钱包会显示提示，并可能使恶意行为者访问资产。

Lilley警告用户避免使用Ledger连接器的任何DApps，并补充说“连接套件”也很容易受到攻击，这不是一次单独的攻击，而是对多个DApps的大规模攻击。

Blockaid的联合创始人兼首席执行官Ido Ben-Natan告诉Cointelegraph：

“分类账用户如果不进行交易就不会面临风险。它不会在事先批准的情况下被利用。Revoke.cash 尤其受到影响，所以不要与之交互。过去两个小时，受影响的资金数量达到数十万美元。许多网站仍然受到影响，用户也受到了打击。”

Ledger承认其代码中的漏洞，并表示已“删除了Ledger Connect Kit的恶意版本”，并补充说“现在正在推出一个正版版本来替换恶意文件。”

我们已经识别并删除了Ledger Connect Kit的恶意版本。

目前正在推出一个真正的版本来替换恶意文件。请暂时不要与任何dApp进行交互。我们将随时向您通报情况。

您的Ledger设备和…

——Ledger(@Ledger)，2023年12月18日