目前正在发生大规模攻击,有可能影响到所有采用莱杰连接工具包的去中心化应用程序(dApp)。目前建议您不要访问任何提供 Web3 钱包连接功能的网站
。
DTD 15:18:据Ledger称,该公司正在推出更新。Ledger 还表示,一旦 “完整报告 “准备就绪,将立即发布。
更新 15:06:Banteg 发布消息称,Ledger 已实施更新,恶意代码已被删除。但仍建议不要与任何允许钱包连接的应用程序交互,因为传播可能需要一些时间。
更新 15:03:根据 Igor Igamberdiev 的说法,恶意代码是在今天早上 8:44 左右实施的,因此可能(但不确定)存在潜在风险的钱包是那些在此之后与 Ledger 连接工具包交互的钱包。
更新 14:57:据链上调查员 ZachXBT 称,已经有超过 61 万美元通过该漏洞被盗。根据 Arkham Intelligence 的数据,ZachXBT 引用的地址被认为是向 Angel Drainer 发送了资金,其钱包总额超过 100 万美元。
A major attack is underway
这可能是 Web3 生态系统有史以来发生的最大攻击之一:所有采用 Ledger 连接工具的去中心化应用程序(dApps)似乎都受到了感染,它们的代码已被一项排水功能所取代。
该漏洞首先由 Sushi 协议报告,出于安全原因,该协议已将其网站下线。
紧急安全警报
我们发现了一个关键问题,即分类账连接器已被破坏,可能允许注入影响各种 dApp 的恶意代码。
如果您打开了 Sushi 页面并看到一个意外的 “连接钱包 “弹出窗口,请勿… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Sushi 的首席技术官马修-里利(Matthew Lilley)表示,该漏洞确实源于 Ledger,更具体地说是源于他们的连接工具包(Connect Kit),该工具包负责管理与去中心化应用程序的交互。可能受影响的应用程序列表可以在这里找到。这些是集成了 Ledger 功能的所有应用程序
任何使用 LedgerHQ/connect-kit 的 dApp 都存在漏洞。在收到进一步通知之前,请勿使用任何 dApp。这不是一次孤立的攻击,而是对多个 dApp 的大规模攻击。https://t.co/a3brXNQSx9
– 我是软件 (@MatthewLilley) 2023年12月14日
。
这次攻击更加狡猾,因为它还感染了允许撤销智能合约授权的网站,如 Revoke.Cash,该网站也已下线,以减少用户的潜在损失。Revoke.Cash 建议您不要使用任何连接到 Web3 钱包的网站。
以下是包含恶意代码的窗口预览:
部署代码的示例(窗口显示在实际连接的上方):https://t.co/7J34ArOTLR
– OAK (@oak_en) 12月14日,2023
。
分类账就 X 发表声明,但未提供任何补充信息:
我们已经识别并删除了恶意版本的 Ledger Connect Kit。
我们正在推送正版,以替换恶意文件。暂时不要与任何 dApp 进行交互。我们将随时向您通报情况。
您的 Ledger 设备和…
– Ledger (@Ledger) 2023年12月14日
。