币圈出现大规模安全漏洞，Ledger钱包遭恶意入侵

引言

币方社报道，币圈去中心化金融（DeFi）最近发生了一起重大安全漏洞。Matthew Lilley，去中心化交易所SushiSwap的技术长在周四晚间发文警告，常用的Web3 Connector似乎遭到黑客攻击。经过后续调查，发现原因是大型加密货币钱包Ledger遭到了恶意入侵。鉴于此，Matthew强调暂时不要与任何去中心化应用程序（Dapp）互动，以免资金风险。

背景

Matthew在更新中指出，问题主要出现在那些集成了“被投毒的Ledger Connect套件”的应用程序上。他解释称，Ledger犯下了一个可怕的错误。首先，他们正在从CDN加载JS（JavaScript）。其次，这些JS并非来自正版。最后，他们的CDN受到了攻击。

细节

进一步地，Web3反诈平台Scam Sniffer也指出，Ledger的ledgerhq/connect-kit npm库似乎遭到了入侵，进一步证实了信息的可信度。此外，0xScope合伙人0xSentry在推特上补充表示，此次攻击事件很有可能是由Ledger的前员工Junichi Sugiura所导演的，因为攻击者在代码页留下的数字痕迹涉及到了Junichi Sugiura的谷歌电子邮件帐户。

该攻击事件的影响范围广泛，不仅仅是Sushi交易平台，去中心化交易所Kyber Network也为了安全考虑，暂时禁用了其前端用户界面（UI）页面，直到情况明确为止。此外，加密货币钱包MetaMask也发文表示，已经发现了针对Ledger Connect Kit的攻击，并警告用户停止使用相关Dapp程序。

处理状况

Ledger在北京时间周四晚间9点30分左右发表了一篇公告，宣布他们已经识别并删除了Ledger Connect Kit的恶意版本，并正在更新版本以替换恶意文件。他们同时警告用户暂时不要与任何Dapp进行交互。

结论

目前官方还在确认确切的损失金额。针对此次攻击事件，慢雾创始人余弦认为黑客组织米针对Ledger的篡改行为可以追溯到ledgerhq/connect-kit 1.1.5版本，但在那个时候还没有植入恶意代码，只是包含了一些嘲讽信息。后续的1.1.6版本开始植入恶意代码，并发布了带有病毒的1.1.7版本。

在彻底排查完成之前，投资者应谨慎对待与Dapp钱包、应用程序或任何相关链接的交互，建议暂时不要与任何Dapp进行互动，以免资金曝露在风险中。

更新

Ledger Support在周五发布了一项更新，宣布“正版Ledger Connect Kit 1.1.8已经全面发布。Ledger和WalletConnect可以确认恶意代码已被停用。现在您可以安全地使用Ledger Connect套件了。”然而，MetaMask官方强调：“Ledger已解决了当前问题，但目前建议用户等待24小时，然后再使用Ledger Connect套件与Dapp进行交互。”

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。