冷钱包知名大厂 Ledger 昨(14)晚 9 点左右惊传遭遇漏洞攻击,后续查明原因为其连结器 ledgerhq/connect-kit npm 遭到恶意代码入侵。
最为重要的是,由于 Web3 领域多个项目均与 Ledger 服务存在互动,导致此次骇客攻击牵连项目甚广,一时间在社群和各大项目方中引起巨大恐慌。
Ledger 执行长公开信:尽力帮助受影响的个人追回资金
在历经一个晚上的恐慌后,Ledger 董事长兼执行长 Pascal Gauthier 稍早对昨天的漏洞攻击一事发布公开信,他写道:
12 月14 日,我们发现 Ledger Connect Kit 遭到了攻击,这是一个实现连接用户 Ledger 设备至第三方 DApps(与钱包连接的网站)按钮的 JavaScript 库。
这次攻击是由于一位前员工遭受网络钓鱼攻击,导致恶意行为者能够将恶意文件上传到 Ledger 的 NPMJS(JavaScript代码的包管理器,用于不同应用间的共享)。
Pascal Gauthier 表示,此漏洞仅限于使用 Ledger Connect Kit 的第三方 DApp,他还指出事情发生的 40 分钟内,Ledger 就与 WalletConnect 迅速行动,应对这次攻击,移除并停用了恶意程式码。
信中强调,Ledger 已提出投诉,将帮助受影响的个人尝试追回资金,目前正在试图找到攻击者,并已开始与执法部门合作和追踪资金,以从骇客手中追回被盗的资产。
Ledger 建安全版本已部署、建议等待 24 小时再操作
值得庆幸的是,Leger 官方已经正式修复了其漏洞,并将 Ledger Connect Kit 版本更新至 1.1.8,使用者已可以安全使用 Ledger Connect Kit,但仍建议等待 24 小时,同时清除浏览器快取再操作。
UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger (@Ledger) December 14, 2023
受损金额 48.4 万美元
虽然众多 Web3 项目,尤其是 DeFi 项目均受 Ledger 此次被骇事件牵连,但好在发现早、反应快、处理迅速,因此此次事件所遭损失在目前并不算多。
据链上数据监测团队 Lookonchain 监测显示,截至昨晚 11 点左右,Ledger Connect Kit 漏洞攻击者窃取资金约为 48.4 万美元,且已经将 4.334 枚 ETH 转移到钓鱼团伙 Angel Drainer。
需要注意的是,安全团队慢雾创办人余弦强调,实际上 Ledger 钱包本身没有影响,受影响的是依赖于 Ledger 连结器的一些 Dapp。
