原创 | 星球日报
作者 | Loopy
今日,著名的硬件钱包品牌Ledger出现重大安全事故。虽然Ledger有出售自己的硬件钱包,但这一事故波及面极广,远不止钱包自身,更有大量dApp 被暴露于风险之下。目前,尚未有受损资金统计。
星球日报提醒用户,在形势明朗前,请先暂停一切EVM链上交互。
Ledger出现了什么问题?
首先,本次攻击并非针对Ledger的硬件钱包,而是针对dApp进行。在Ledger的GitHub上,LedgerLibrary中的Ledger ConnectKit套件的代码遭到了恶意篡改。
被修改的部分,则是用于Ledger的WalletConnect这一功能之中。
Ledger ConnectKit是Ledger提供的一个服务,具体来说,它可以减轻开发者的工作。众所周知,dApp如果想进行交互,则必须要连接钱包,那么如何和钱包产生“连接”呢?开发者当然可以参考钱包的文档,自行开发连接部分的代码,但更成熟、更简便的方式是,使用体验优秀的、第三方的、成熟的“连接器”,直接使用由大厂开发的“连接”功能。
WalletConnect即是这样的一个服务。它可以让用户的钱包和dApp产生连接,因此这一功能与几乎所有链上用户都息息相关,影响范围远超硬件钱包的用户。
哪些服务受到影响?
目前,受到影响的全部dApp列表尚无明确统计。但由于Ledger强大的影响力,大量的dApp均集成了这一功能,因此可以判断,受影响的dApp范围极广。
星球日报再次提醒广大用户,目前先停止一切EVM链上的交互行为。
甚至,连以“取消授权”功能而著称的Revoke.cash都受到了影响。这也让部分本未受到影响的用户,在取消授权之时,不幸遇到了风险事件。有社区用户反映,Revoke.cash网站的漏洞颇为严重,他甚至未曾进行钱包链接,仅仅只是打开前端,Web网页就已在试图相其电脑植入木马。
Revoke.cash于X平台发文表示,Revoke.cash已暂时关闭了网站,建议在该漏洞被利用期间不要使用任何加密网站。
Sushi是最早被发现收到影响的平台之一。Sushi CTO Matthew Lilley于X平台预警表示:“在另行通知之前,请不要与任何Dapp交互。某个Web3常用的连接器(connector)”疑似遭遇破坏,现可被注入影响众多DApp的恶意代码。”安全团队派盾PeckShieldAlert指出,其社区贡献者报告称Zapper和Sushi的前端已受到损害。
跨链DEX项目Kyber Network在X平台发文表示,出于谨慎考虑,其已禁用前端UI,直到情况明确为止。
当前,已有包括Trader Joe、Hey在内的部分Dapp表态已主动暂停与Ledger连接器集成,直至另行通知。
当然,也有“逃过一劫”的项目,Aava创始人Stani就表示,Aava暂未受影响,所有资金安全。但在Ledger进一步澄清之前,仍不要使用DApp。
安全事件发酵后,市场大盘发生动荡,或为受到此事件影响。欧易OKX行情显示,BTC一度下探至41202 USDT,1小时内振幅4.4%。ETH一度下探至2226 USDT1小时内振幅3.35%。
最新进展更新
Scope Protocol联创0xSentry在X平台称,攻击者留下的数字痕迹中涉及@JunichiSugiura(Jun,Ledger前员工)的Gmail账户,后者的帐户(信息)可能已被泄露。
22点44分,据Lookonchain监测,Ledger Connect Kit漏洞黑客已窃取了约48.4万美元的资产。Ledger攻击者将4.334枚ETH转移到Angel Drainer。
",