理解 Ledger 连接器库的漏洞及其对用户的影响

2023-12-15 12:31

免责声明 免责声明:内容来源于网络收集,不构成任何投资建议!

Ledger Connector 库中的安全缺陷让加密社区感到担忧,并引发了有关基本安全的严重问题。

理解 Ledger 连接器库的漏洞及其对用户的影响

今天早些时候,加密硬件钱包制造商Ledger 确认其连接器库已被泄露,攻击者用恶意文件替换了真实版本。事件发生后,多个去中心化应用程序(dApp)面临潜在的攻击,攻击者成功从多个钱包中窃取了超过50 万美元。

在本报告中,我们将为您带来该事件的详细情况、关键事件及其影响。

事件发生经过

在社交媒体平台X(以前称为Twitter)上的详细帖子中,Ledger 解释说,一名前员工遭受了网络钓鱼攻击,黑客可以访问该前员工的NPMJS 帐户,该帐户拥有GitHub 的软件注册表。

随后,黑客发布了Ledger Connect Kit 的篡改版本,其中包含恶意代码。此代码用于欺骗性WalletConnect,将资金重定向到黑客控制的钱包。

这些恶意版本通过在连接到去中心化应用程序(dApp)前端时显示虚假提示来欺骗用户,导致他们无意中批准虚假交易。单击这些提示可能会导致无意中签署交易,从而导致用户的钱包被清空。

然而,安全漏洞不会直接影响Ledger 钱包或泄漏种子短语。仅当用户将钱包连接到dApp 时才会出现风险。

Ledger 解决该问题

Ledger公司表示已迅速更换了恶意Ledger

连接套件,使用真实版本。这家硬件钱包制造商确认了该修复,并承诺很快发布完整报告。

“Ledger 的技术和安全团队收到了警报,并在Ledger 意识到这一情况后40 分钟内部署了修复程序。恶意文件的存活时间约为五个小时,但我们相信资金耗尽的时间不会超过两个小时。”

此外,还提醒用户清楚地签署交易,以确保计算机或手机屏幕上显示的信息与Ledger 设备上显示的信息之间的一致性。建议用户避免使用缓存的恶意库,如果使用过则清除缓存。

Ledger 首席执行官帕斯卡高蒂尔(Pascal Gauthier) 在一封事后调查信中承认,在这起“不幸的孤立事件”中,他的公司的安全措施失败了。他概述了实施“更强的安全控制”的计划,同时呼吁全行业采用更安全的“清晰签名”标准,这可以防止未经授权的交易。

61 万美元被

尽管进行了修复并引发了对妥协的担忧,但链上分析显示,不同钱包中总共有61 万美元被盗。

据DeBank 称,攻击者的钱包在Etherscan 上也被标记为“Ledger Exploiter”,截至发稿时余额超过33 万美元。

Tether 首席执行官Paolo Ardoino 透露,稳定币发行方立即冻结了攻击者的钱包。 “Tether 冻结了Ledger 的攻击者地址,”Ardoino 说。该钱包目前包含价值约44,000 美元的USDT。

冻结意味着钱包无法再将USDT 发送到其他地址。但是,它可以继续进行其他事务。

你的 Ledger 钱包还能使用吗?

如上所述,安全漏洞并未直接影响Ledger 钱包或泄露助记词。这意味着Ledger 用户可以继续使用他们的硬件钱包。

但是,建议他们避免与去中心化应用程序交互,直到这些平台发出进一步通知。

与此同时,Ledger 通知开发人员,受感染的Connect Kit 的真实版本已自动传播。该公司补充说:“我们建议等待24 小时后再使用Ledger Connect Kit。”