Ledger代碼庫(kù)攻擊者在泄露數(shù)十個(gè)Web3 Dapp后損失48萬(wàn)美元

加密錢(qián)包提供商Ledger維護(hù)的一個(gè)代碼庫(kù)今天被泄露，用戶(hù)資金面臨風(fēng)險(xiǎn)超過(guò)五個(gè)小時(shí)。

根據(jù)etherscan.io的數(shù)據(jù)，該地址持有75個(gè)代幣中的約66個(gè)ETH，價(jià)值約98000美元，Lookonchain報(bào)告稱(chēng)，攻擊者成功流失了484000美元的資產(chǎn)。攻擊者的地址已被USDT發(fā)行商Tether列入黑名單。

Ledger是用戶(hù)數(shù)量最大的硬件錢(qián)包提供商，它在X上發(fā)布消息稱(chēng)，其Ledger Connect Kit的安全版本正在自動(dòng)傳播。該公司建議在再次與連接器交互之前等待24小時(shí)。

攻擊者在所謂的“供應(yīng)鏈攻擊”中用惡意軟件感染了Ledger的Connect Kit，這是一個(gè)流行的代碼庫(kù)，有助于用戶(hù)錢(qián)包和dApp之間的交互

面臨風(fēng)險(xiǎn)的加密用戶(hù)

任何使用加密錢(qián)包確認(rèn)交易的用戶(hù)，無(wú)論是否通過(guò)Ledger，都有資金損失的風(fēng)險(xiǎn)，因?yàn)樵S多web3 dapp都使用Ledger的庫(kù)。知名加密貨幣開(kāi)發(fā)商敦促用戶(hù)不要與任何web3 dApp進(jìn)行交互。

Sushi首席技術(shù)官M(fèi)atthew Lilley在社交媒體上指出了這一漏洞。Yearn的核心撰稿人Banteg發(fā)帖稱(chēng)，Ledger的圖書(shū)館已經(jīng)被破壞，“被排水器取代了”

Ledger在發(fā)現(xiàn)該漏洞大約一小時(shí)后發(fā)推特稱(chēng)已刪除惡意代碼。

Ledger說(shuō)：“該文件的惡意版本在歐洲中部時(shí)間下午2:35左右被正版替換?！?。“您的Ledger設(shè)備和Ledger Live沒(méi)有受到損害……我們將在準(zhǔn)備就緒后盡快提供全面的報(bào)告?！?/p>

Ledger siad表示，盡管該公司在發(fā)現(xiàn)該惡意軟件后的40分鐘內(nèi)成功修補(bǔ)并修復(fù)了該問(wèn)題，但該惡意軟件仍存活了5個(gè)小時(shí)。Ledger還輪換了在其Github上發(fā)布的權(quán)限。

SushiSwap和Revoke。Cash已經(jīng)用固定版本更新了他們的庫(kù)，而Zapper宣布他們禁用了受損的前端。