Ledger 連接器庫中的安全漏洞讓加密社區感到擔憂,並引發了有關基本安全性的嚴重問題。
今天早些時候,加密硬件錢包製造商 Ledger 確認其 Connector 庫遭到破壞,攻擊者用惡意文件替換了真實版本。事發後,多個去中心化應用(dApps)面臨潛在的漏洞利用,攻擊者成功從多個錢包中竊取了超過50萬美元。
在本報告中,將爲您帶來了該事件的詳細信息、關鍵事件及其影響。
事件發生經過
在社交媒體平臺X(前身是Twitter)上的一篇詳細的帖子中,Ledger解釋說一名前員工受到網絡釣魚攻擊,使得黑客能夠訪問該前員工的NPMJS賬戶,該帳戶擁有GitHub的軟件註冊表。
隨後,黑客發佈了經過篡改的 Ledger Connect Kit 版本,其中包含惡意代碼。這個代碼被用於欺騙性的 WalletConnect,將資金重定向到黑客控制的錢包。
這些惡意版本通過在連接到去中心化應用(dApp)前端時顯示虛假提示欺騙用戶,引導其無意中批准虛假交易。點擊這些提示會導致無意中籤署一筆可能導致用戶錢包被清空的交易。
然而,安全漏洞不會直接影響 Ledger 錢包或泄露種子短語。只有當用戶將錢包連接到 dApp 時,風險纔會出現。
Ledger 解決該問題
Ledger公司表示,他們迅速替換了惡意的 Ledger Connect Kit,使用了真實版本。這家硬件錢包製造商確認了修復,並承諾將盡快發佈一份全面的報告。
“Ledger 的技術和安全團隊收到了警報,並在 Ledger 意識到後 40 分鐘內部署了修復程序。該惡意文件的存活時間約爲 5 小時,但我們認爲資金被耗盡的時間僅限於不到兩個小時。”
此外,還提醒用戶對交易進行清晰簽名,以確保計算機或手機屏幕上顯示的信息與 Ledger 設備上顯示的信息之間的一致性。並建議用戶避免使用緩存的惡意庫,並清除緩存(如果已被使用)。
在一封事後總結的信中,Ledger 首席執行官 Pascal Gauthier 承認他的公司在這個“不幸的孤立事件”中的安全做法失敗了。他概述了實施“更強大的安全控制”的計劃,同時呼籲全行業採用更安全的“清晰簽名”標準,這可能會防止未經授權的交易。
61 萬美元被盜
儘管進行了修復並引發了對妥協產生的擔憂,但鏈上分析顯示,合計610,000 美元從各個錢包中被盜走。
根據 DeBank 的數據,攻擊者的錢包在 Etherscan 上也被標記爲“Ledger Exploiter”,截至發稿時餘額超過 33 萬美元。
Tether 首席執行官 Paolo Ardoino 透露,這家穩定幣發行商立即凍結了攻擊者的錢包。“Tether 剛剛凍結了 Ledger 的攻擊者地址,”Ardoino 說。當前該錢包中含有價值約44000美元的USDT。
凍結意味着錢包無法再將USDT發送到其他地址。但是,它可以繼續進行其他交易。
你的 Ledger 錢包還能使用嗎?
正如所述,安全漏洞並沒有直接影響Ledger錢包或泄露助記詞。這意味着Ledger用戶可以繼續使用他們的硬件錢包。
然而,建議他們在這些平臺另行通知之前避免與去中心化應用進行交互。
與此同時,Ledger 告知開發人員,受到威脅的 Connect Kit 的真實版本已經自動傳播。公司補充說:“我們建議在再次使用 Ledger Connect Kit 之前請等待24小時。”#Ledger #漏洞
