FX168財經報社(香港)訊 幣圈去中心化金融(DeFi)爆發大規模安全漏洞,去中心化交易所SushiSwap技術長Matthew Lilley在週四(12月14日)晚間發文警告,市場常用的Web3 Connector疑似遭黑客攻擊,後續查明原因是因大型加密貨幣錢包Ledger遭惡意入侵有關,強調暫時不要與任何去中心化應用程序(Dapp)互動,以免資金出現風險。
「警告!請勿與任何Dapp交互,直至另行通知!看來常用的 Web3連結器已經遭到破壞,向衆多的應用程序注入惡意代碼,」Matthew重點寫道。
(來源:Twitter)
在後續的更新中,他發現,問題主要出現在那些集成了「被投毒的 Ledger Connect套件」的應用程序上。
他解釋說:「究竟發生了什麼?簡而言之,Ledger犯下一個可怕的錯誤,首先,他們正在從CDN加載JS。再者,這些JS並非來自正版。最後,他們的CDN受到攻擊。」
(來源:Twitter)
Web3反詐平臺Scam Sniffer也指出,看起來是加密貨幣錢包Ledger的ledgerhq/connect-kit npm遭到入侵,進一步證實了信息的可信度。
值得一提的是,稍晚0xScope合夥人0xSentry在推特補充表示,此次攻擊事件很可能是Ledger前員工JunichiSugiura所導演的,因爲攻擊者在代碼頁留下的數位痕跡涉及到JunichiSugiura的谷歌電子郵件帳戶。
經觀察發現,此次攻擊事件牽連範圍廣泛,不止是Sushi交易平臺,去中心化交易所Kyber Network也提到,出於安全考慮,將暫時禁用其前端UI(User Interface)頁面,直到情況明確爲止。
(來源:Twitter)
另外,加密貨幣錢包小狐狸(MetaMask)也在發文表示,已發現對Ledger Connect Kit的攻擊,並警告用戶停止使用Dapp程序。
「如果你是MetaMask用戶,請在MetaMask Portfolio上執行任何交易之前,確保你已在MetaMask Extension中打開Blockaid功能。MetaMask Portfolio團隊正在處理該問題,並已制定修復方案,很快將推出,」MetaMask官方強調。
(來源:Twitter)
根據最新處理狀況,Ledger在北京時間週四晚間9點30分左右發文表示,他們已識別並刪除了Ledger Connect Kit的惡意版本,目前正更新版本以替換惡意文件,同時也警告用戶暫時仍然不要與任何Dapp進行交互。
(來源:Twitter)
至於投資者最爲關注的確切有多少金額損失,目前官方仍在確認中。
針對此次攻擊事件,區塊鏈安全團隊慢霧創始人餘弦稍晚發文分析表示,針對Ledger此次攻擊的黑客組織米,在ledgerhq/connect-kit 1.1.5版本時就開始篡改代碼,不過那時還並未植入惡意代碼,僅是嘲諷類信息。
他稱:「1.1.6版本時則開始植入惡意代碼,後續又發佈了帶有病毒的1.1.7版本。」
(來源:Twitter)
當前未完成徹底排查前,提醒投資者與Dapp錢包、應用程序或任何相關的鏈接都必須謹慎,最好如Matthew所警告的,暫時不要與任何Dapp進行互動,避免資金曝露在風險中。
最新進展:
Ledger Support在週五發佈更新,官方寫道:「正版Ledger Connect Kit 1.1.8現已全面發佈。 Ledger和WalletConnect可以確認惡意代碼已被停用。你現在可以安全地使用Ledger Connect套件了。」
但MetaMask官方強調:「Ledger已解決了當前問題,但目前建議用戶等待24小時,然後再使用Ledger Connect套件與Dapp進行交互。」
(來源:Twitter)