在发现恶意版本的 Ledger Connect Kit 之后,硬件钱包制造商 Ledger 警告用户不要连接去中心化应用程序(dapps)。
Ledger 发言人告诉 TCN:”我们已经发现并删除了一个恶意版本的 Ledger Connect Kit。我们正在推送一个正版,以取代恶意文件。暂时不要与任何 dApp 进行交互。” 该发言人补充说,Ledger 设备及其 Ledger Live 应用程序没有受到威胁,该公司 “将根据情况发展随时向用户通报”。
软件钱包开发商 MetaMask 也在攻击消息传出后警告用户 “停止使用 dapps”。
连接工具包(Connect Kit)是一个使 Ledger 硬件钱包能够与 dapps 连接的库,开发者在 Twitter 上发布的
最先发现了被攻击的版本。
我们发现并删除了一个恶意版本的 Ledger Connect Kit。
我们正在推送一个正版,以取代恶意文件。暂时不要与任何 dApp 进行交互。我们将随时向您通报情况。
您的 Ledger 设备和…
– Ledger (@Ledger) 2023年12月14日
Web3安全公司BlockAid报告称,”攻击者在ledgerconnect工具包的NPM包中注入了一个钱包耗尽的有效载荷”,并补充说,使用1.1.4及以上版本Ledger连接工具包的dapps,包括Sushi.com和Hey.xyz,都受到了影响。
我们检测到 ledgerconnect kit 可能受到供应链攻击。
攻击者在流行的 NPM 软件包中注入了钱包耗尽有效载荷。
这目前影响了几个流行的 dapp,包括但不限于 https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) 2023年12月14日
。
SushiSwap首席技术官马修-利利(Matthew Lilley)指责Ledger “犯下了一连串可怕的错误”,并解释说,”一个常用的web3连接器已被攻破,允许注入恶意代码,影响了众多dApp”。
他补充说,用户应避免使用任何 dapp,”直到他们的团队确认已经减轻了攻击”。
以太坊核心开发者联络员哈德森-詹姆森(Hudson Jameson)解释说:”由Ledger维护的一个被许多dapp使用的库被入侵,并被添加了一个钱包排水器。” 詹姆森重申:”如果你不了解dapp使用的后端库,那么目前使用dapp是有风险的。”詹姆森补充说:”即使在Ledger纠正了他们库中的不良代码后,使用和部署该库的项目也需要更新一些东西,然后才能安全地使用使用Ledger的web3库的dapp。”
最近几个月,Ledger 在安全问题上饱受批评,该公司基于自愿 ID 的 Recover 服务引起了加密货币用户的愤怒。
这项服务与今天的攻击无关,它将用户的种子短语分割开来,分别存储在三个托管机构,要求用户提供护照或国民身份证作为身份证明。由于愤怒的用户将这项服务称为 “后门”,Ledger 的联合创始人 Éric Larchevêque 将这项服务的推出称为 “彻底的公关失败,但绝对不是技术失败”。
11 月,微软应用商店上的一款欺诈性 Ledger 应用从毫无戒心的客户那里榨取了近 100 万美元;2020 年,该公司的客户电子邮件数据库遭到黑客攻击,超过 100 万封用户电子邮件被泄露,从而饱受批评。