漏洞
10,541 مشاهدات
10 يقومون بالنقاش
رائج
جديد
ترجمة
一文了解 Ledger 连接器库的漏洞及其对用户的影响
Ledger 连接器库中的安全漏洞让加密社区感到担忧,并引发了有关基本安全性的严重问题。
今天早些时候,加密硬件钱包制造商 Ledger 确认其 Connector 库遭到破坏,攻击者用恶意文件替换了真实版本。事发后,多个去中心化应用(dApps)面临潜在的漏洞利用,攻击者成功从多个钱包中窃取了超过50万美元。
在本报告中,将为您带来了该事件的详细信息、关键事件及其影响。
事件发生经过
在社交媒体平台X(前身是Twitter)上的一篇详细的帖子中,Ledger解释说一名前员工受到网络钓鱼攻击,使得黑客能够访问该前员工的NPMJS账户,该帐户拥有GitHub的软件注册表。
随后,黑客发布了经过篡改的 Ledger Connect Kit 版本,其中包含恶意代码。这个代码被用于欺骗性的 WalletConnect,将资金重定向到黑客控制的钱包。
这些恶意版本通过在连接到去中心化应用(dApp)前端时显示虚假提示欺骗用户,引导其无意中批准虚假交易。点击这些提示会导致无意中签署一笔可能导致用户钱包被清空的交易。
然而,安全漏洞不会直接影响 Ledger 钱包或泄露种子短语。只有当用户将钱包连接到 dApp 时,风险才会出现。
Ledger 解决该问题
Ledger公司表示,他们迅速替换了恶意的 Ledger Connect Kit,使用了真实版本。这家硬件钱包制造商确认了修复,并承诺将尽快发布一份全面的报告。
“Ledger 的技术和安全团队收到了警报,并在 Ledger 意识到后 40 分钟内部署了修复程序。该恶意文件的存活时间约为 5 小时,但我们认为资金被耗尽的时间仅限于不到两个小时。”
此外,还提醒用户对交易进行清晰签名,以确保计算机或手机屏幕上显示的信息与 Ledger 设备上显示的信息之间的一致性。并建议用户避免使用缓存的恶意库,并清除缓存(如果已被使用)。
在一封事后总结的信中,Ledger 首席执行官 Pascal Gauthier 承认他的公司在这个“不幸的孤立事件”中的安全做法失败了。他概述了实施“更强大的安全控制”的计划,同时呼吁全行业采用更安全的“清晰签名”标准,这可能会防止未经授权的交易。
61 万美元被盗
尽管进行了修复并引发了对妥协产生的担忧,但链上分析显示,合计610,000 美元从各个钱包中被盗走。
根据 DeBank 的数据,攻击者的钱包在 Etherscan 上也被标记为“Ledger Exploiter”,截至发稿时余额超过 33 万美元。
Tether 首席执行官 Paolo Ardoino 透露,这家稳定币发行商立即冻结了攻击者的钱包。“Tether 刚刚冻结了 Ledger 的攻击者地址,”Ardoino 说。当前该钱包中含有价值约44000美元的USDT。
冻结意味着钱包无法再将USDT发送到其他地址。但是,它可以继续进行其他交易。
你的 Ledger 钱包还能使用吗?
正如所述,安全漏洞并没有直接影响Ledger钱包或泄露助记词。这意味着Ledger用户可以继续使用他们的硬件钱包。
然而,建议他们在这些平台另行通知之前避免与去中心化应用进行交互。
与此同时,Ledger 告知开发人员,受到威胁的 Connect Kit 的真实版本已经自动传播。公司补充说:“我们建议在再次使用 Ledger Connect Kit 之前请等待24小时。”#Ledger #漏洞
今天早些时候,加密硬件钱包制造商 Ledger 确认其 Connector 库遭到破坏,攻击者用恶意文件替换了真实版本。事发后,多个去中心化应用(dApps)面临潜在的漏洞利用,攻击者成功从多个钱包中窃取了超过50万美元。
在本报告中,将为您带来了该事件的详细信息、关键事件及其影响。
事件发生经过
在社交媒体平台X(前身是Twitter)上的一篇详细的帖子中,Ledger解释说一名前员工受到网络钓鱼攻击,使得黑客能够访问该前员工的NPMJS账户,该帐户拥有GitHub的软件注册表。
随后,黑客发布了经过篡改的 Ledger Connect Kit 版本,其中包含恶意代码。这个代码被用于欺骗性的 WalletConnect,将资金重定向到黑客控制的钱包。
这些恶意版本通过在连接到去中心化应用(dApp)前端时显示虚假提示欺骗用户,引导其无意中批准虚假交易。点击这些提示会导致无意中签署一笔可能导致用户钱包被清空的交易。
然而,安全漏洞不会直接影响 Ledger 钱包或泄露种子短语。只有当用户将钱包连接到 dApp 时,风险才会出现。
Ledger 解决该问题
Ledger公司表示,他们迅速替换了恶意的 Ledger Connect Kit,使用了真实版本。这家硬件钱包制造商确认了修复,并承诺将尽快发布一份全面的报告。
“Ledger 的技术和安全团队收到了警报,并在 Ledger 意识到后 40 分钟内部署了修复程序。该恶意文件的存活时间约为 5 小时,但我们认为资金被耗尽的时间仅限于不到两个小时。”
此外,还提醒用户对交易进行清晰签名,以确保计算机或手机屏幕上显示的信息与 Ledger 设备上显示的信息之间的一致性。并建议用户避免使用缓存的恶意库,并清除缓存(如果已被使用)。
在一封事后总结的信中,Ledger 首席执行官 Pascal Gauthier 承认他的公司在这个“不幸的孤立事件”中的安全做法失败了。他概述了实施“更强大的安全控制”的计划,同时呼吁全行业采用更安全的“清晰签名”标准,这可能会防止未经授权的交易。
61 万美元被盗
尽管进行了修复并引发了对妥协产生的担忧,但链上分析显示,合计610,000 美元从各个钱包中被盗走。
根据 DeBank 的数据,攻击者的钱包在 Etherscan 上也被标记为“Ledger Exploiter”,截至发稿时余额超过 33 万美元。
Tether 首席执行官 Paolo Ardoino 透露,这家稳定币发行商立即冻结了攻击者的钱包。“Tether 刚刚冻结了 Ledger 的攻击者地址,”Ardoino 说。当前该钱包中含有价值约44000美元的USDT。
冻结意味着钱包无法再将USDT发送到其他地址。但是,它可以继续进行其他交易。
你的 Ledger 钱包还能使用吗?
正如所述,安全漏洞并没有直接影响Ledger钱包或泄露助记词。这意味着Ledger用户可以继续使用他们的硬件钱包。
然而,建议他们在这些平台另行通知之前避免与去中心化应用进行交互。
与此同时,Ledger 告知开发人员,受到威胁的 Connect Kit 的真实版本已经自动传播。公司补充说:“我们建议在再次使用 Ledger Connect Kit 之前请等待24小时。”#Ledger #漏洞
ترجمة
比特币开发者:闪电开发者必须“醒来”并修复安全漏洞,而不是取悦风投
十月份离开闪电网络的 Antoine Riard 认为,闪电网络也面临着变得越来越中心化的风险,并且容易受到单点故障和审查风险的影响。
一位前闪电网络开发人员认为,从事比特币第 2 层闪电网络开发的开发人员已经不再那么注重安全性,而是更加注重为投资者创造现金流。
比特币核心开发人员兼安全研究员 Antoine Riard 上个月因担心一种名为“替换循环”的新攻击向量而 离开闪电生态系统后 成为头条新闻,利用这种攻击向量,攻击者可能会利用该向量通过瞄准支付渠道来窃取资金。
当时,Riard 表示,新型攻击将 Lighting 置于“危险境地”,尽管“Machine98”等其他比特币开发商表示,这种 攻击一开始就很难实施。
Riard 告诉记者,他现在正在比特币基础层工作来解决这个问题,并敦促闪电网络开发人员效仿:
“他们需要醒来,停止梦游,并到白板前与基础层的其他开发人员一起设计一个强大且可持续的修复方案,以保持闪电网络的长期中心化和开放性。”
Riard 还声称,为了取悦风险投资家,许多专注于闪电网络的公司正在损害闪电网络的使命和安全激励措施:
“可悲的事实是,他们中的大多数人都为风险投资资助的实体或具有相同低时间偏好的商业实体工作,这对最终用户造成长期损害。”
Riard表示,这是“公地悲剧”的一个典型例子,即有权使用公共资源的个人和实体为了自己的利益而行事,并耗尽了公共资源。
去中心化似乎是这些风投资助的闪电公司愿意做出的权衡,这是 Riard 的主要担忧。
“中心化系统在效率方面非常出色,但也存在系统性单点故障和用户审查成本较低的缺点,而这些都是比特币爱好者可能希望对冲的基本风险。”
“我不确定这是否是一个有趣的闪电未来,”Riard说。事实上,在 10 月 20 日离开闪电生态系统后,他不想参与其中:
“我不希望与负责闪电网络安全以及这里暴露的约 5,300 BTC 相关。在不损害闪电网络抵制审查和无需许可的核心价值观的情况下,我和其他人几乎无法阻止大出血。”
闪电网络是基于比特币区块链构建的第二层解决方案。它旨在提高比特币的可扩展性和效率。
通过闪电网络,用户可以开通支付通道,进行链下多笔交易,并在比特币区块链上结算最终结果。替代循环攻击是一种新型攻击,攻击者可以利用各个内存池之间的不一致来窃取通道参与者的资金。
媒体联系了闪电实验室和照明生态系统中的其他公司,但没有收到回复。
然而,尽管存在安全问题和可能走向中心化的趋势,Riard 解释说,闪电网络并没有像以太坊第 2 层那样遭受那么多攻击,因为闪电网络用户通常在任何给定时间只在钱包中存储少量资金。
据DeFiLlama 称,闪电网络中锁定了总计 1.941 亿美元的 BTC 。
#闪电开发者 #漏洞
一位前闪电网络开发人员认为,从事比特币第 2 层闪电网络开发的开发人员已经不再那么注重安全性,而是更加注重为投资者创造现金流。
比特币核心开发人员兼安全研究员 Antoine Riard 上个月因担心一种名为“替换循环”的新攻击向量而 离开闪电生态系统后 成为头条新闻,利用这种攻击向量,攻击者可能会利用该向量通过瞄准支付渠道来窃取资金。
当时,Riard 表示,新型攻击将 Lighting 置于“危险境地”,尽管“Machine98”等其他比特币开发商表示,这种 攻击一开始就很难实施。
Riard 告诉记者,他现在正在比特币基础层工作来解决这个问题,并敦促闪电网络开发人员效仿:
“他们需要醒来,停止梦游,并到白板前与基础层的其他开发人员一起设计一个强大且可持续的修复方案,以保持闪电网络的长期中心化和开放性。”
Riard 还声称,为了取悦风险投资家,许多专注于闪电网络的公司正在损害闪电网络的使命和安全激励措施:
“可悲的事实是,他们中的大多数人都为风险投资资助的实体或具有相同低时间偏好的商业实体工作,这对最终用户造成长期损害。”
Riard表示,这是“公地悲剧”的一个典型例子,即有权使用公共资源的个人和实体为了自己的利益而行事,并耗尽了公共资源。
去中心化似乎是这些风投资助的闪电公司愿意做出的权衡,这是 Riard 的主要担忧。
“中心化系统在效率方面非常出色,但也存在系统性单点故障和用户审查成本较低的缺点,而这些都是比特币爱好者可能希望对冲的基本风险。”
“我不确定这是否是一个有趣的闪电未来,”Riard说。事实上,在 10 月 20 日离开闪电生态系统后,他不想参与其中:
“我不希望与负责闪电网络安全以及这里暴露的约 5,300 BTC 相关。在不损害闪电网络抵制审查和无需许可的核心价值观的情况下,我和其他人几乎无法阻止大出血。”
闪电网络是基于比特币区块链构建的第二层解决方案。它旨在提高比特币的可扩展性和效率。
通过闪电网络,用户可以开通支付通道,进行链下多笔交易,并在比特币区块链上结算最终结果。替代循环攻击是一种新型攻击,攻击者可以利用各个内存池之间的不一致来窃取通道参与者的资金。
媒体联系了闪电实验室和照明生态系统中的其他公司,但没有收到回复。
然而,尽管存在安全问题和可能走向中心化的趋势,Riard 解释说,闪电网络并没有像以太坊第 2 层那样遭受那么多攻击,因为闪电网络用户通常在任何给定时间只在钱包中存储少量资金。
据DeFiLlama 称,闪电网络中锁定了总计 1.941 亿美元的 BTC 。
#闪电开发者 #漏洞
ترجمة
KyberSwap 承诺弥补近期漏洞造成的用户损失
KyberSwap 宣布了一项赠款计划,以减轻 4800 万美元流动性池黑客攻击造成的损失。
KyberSwap 于12 月 1 日宣布,它将提供赠款,以补偿受近期漏洞影响的用户。
这家去中心化交易所承认,最近的一次攻击从其弹性流动性池中耗尽了 4880 万美元的用户资金,该功能允许用户抵押加密货币以赚取利息或产生收益。
KyberSwap 解释道:
“我们目前的计划是,KyberSwap Treasury 向每个用户(在漏洞利用中损失了资金且尚未收回的资金)提供一笔补助,金额最高可达这些资金从该资金被抽走时的美元价值。他们各自的流动性池。”
该平台表示,这一计划旨在“缓解损失带来的困难”,并计划在未来两周内公布更多细节。
KyberSwap 补充说,它正在支持执法和网络安全团队努力识别和定位攻击者并追回任何被盗资金。该平台提到其作为去中心化且无需许可的协议的地位,并指出用户根据服务条款接受风险。
该漏洞发生在 11 月下旬
KyberSwap 最初于 11 月 22 日遭到黑客攻击。该项目于同一天做出回应,确认了该事件并敦促用户撤回资金。
黑客在袭击发生后不久就表示希望进行谈判。令人惊讶的是,黑客于 11 月 30 日发布链上消息,要求完全控制KyberSwap。KyberSwap 尚未表示是否愿意与黑客谈判或提供赏金以退回资金。
KyberSwap 是一个去中心化交易聚合器,支持 14 个区块链,包括以太坊。根据 DefiLlama 12 月 1 日的数据,该平台锁定的总价值(TVL)为 717 万美元。
该平台的安全性此前曾受到质疑。KyberSwap 的前端于2022 年 9 月遭到黑客攻击,导致损失 265,000 美元。几个月前的四月份,该平台流动性池的风险就已被识别出来。#DEFI #漏洞
KyberSwap 于12 月 1 日宣布,它将提供赠款,以补偿受近期漏洞影响的用户。
这家去中心化交易所承认,最近的一次攻击从其弹性流动性池中耗尽了 4880 万美元的用户资金,该功能允许用户抵押加密货币以赚取利息或产生收益。
KyberSwap 解释道:
“我们目前的计划是,KyberSwap Treasury 向每个用户(在漏洞利用中损失了资金且尚未收回的资金)提供一笔补助,金额最高可达这些资金从该资金被抽走时的美元价值。他们各自的流动性池。”
该平台表示,这一计划旨在“缓解损失带来的困难”,并计划在未来两周内公布更多细节。
KyberSwap 补充说,它正在支持执法和网络安全团队努力识别和定位攻击者并追回任何被盗资金。该平台提到其作为去中心化且无需许可的协议的地位,并指出用户根据服务条款接受风险。
该漏洞发生在 11 月下旬
KyberSwap 最初于 11 月 22 日遭到黑客攻击。该项目于同一天做出回应,确认了该事件并敦促用户撤回资金。
黑客在袭击发生后不久就表示希望进行谈判。令人惊讶的是,黑客于 11 月 30 日发布链上消息,要求完全控制KyberSwap。KyberSwap 尚未表示是否愿意与黑客谈判或提供赏金以退回资金。
KyberSwap 是一个去中心化交易聚合器,支持 14 个区块链,包括以太坊。根据 DefiLlama 12 月 1 日的数据,该平台锁定的总价值(TVL)为 717 万美元。
该平台的安全性此前曾受到质疑。KyberSwap 的前端于2022 年 9 月遭到黑客攻击,导致损失 265,000 美元。几个月前的四月份,该平台流动性池的风险就已被识别出来。#DEFI #漏洞
ترجمة
Telegram否认桌面应用存在报道中的漏洞,确认移动应用不受安全问题影响
Web3安全公司CertiK表示,其社交媒体帖子的目的是提高人们对该问题的认识。
Telegram否认了有关其平台上存在的漏洞,可能使用户遭受攻击的说法。
有关漏洞的情况
区块链安全公司CertiK在4月9日表示,Telegram的桌面应用程序存在潜在的高风险远程代码执行(RCE)漏洞。该公司声明:
“在Telegram桌面应用程序的媒体处理中检测到可能的RCE。这个问题通过特制的媒体文件,如图像或视频,使用户面临恶意攻击的风险。”
据CertiK称,这个漏洞可能允许恶意行为者向用户发送RCE,从而可能使用户遭受特制媒体文件的攻击。
安全公司澄清道,该漏洞仅限于桌面应用程序,这些应用程序可以执行文件中包含的程序。移动应用程序不受影响,因为它们不执行程序。
出于安全考虑,CertiK建议用户在桌面应用程序上禁用自动下载功能。用户可以在应用程序的设置中将媒体下载设置调整为手动下载。
Telegram的回应
4月9日,在Telegram的一篇X平台(前Twitter)的帖子中表示,这些热门视频很可能是一个骗局,因为其平台上不存在此类漏洞。
尽管如此,该平台仍敦促用户通过其漏洞赏金计划报告其应用程序中的任何威胁或潜在漏洞。
与此同时,CertiK的一位发言人告诉记者,该公司没有与Telegram联系,有关漏洞的消息来自安全社区。他补充说,由于移动版本的即时通讯应用程序“不像桌面那样直接执行可执行程序,通常需要签名”,因此它不受此漏洞的影响。
CertiK进一步表示,其在社交媒体上发布有关漏洞的帖子旨在提高人们对潜在问题的认识,并提醒用户采取正确的防护措施。#Telegram #漏洞
Telegram否认了有关其平台上存在的漏洞,可能使用户遭受攻击的说法。
有关漏洞的情况
区块链安全公司CertiK在4月9日表示,Telegram的桌面应用程序存在潜在的高风险远程代码执行(RCE)漏洞。该公司声明:
“在Telegram桌面应用程序的媒体处理中检测到可能的RCE。这个问题通过特制的媒体文件,如图像或视频,使用户面临恶意攻击的风险。”
据CertiK称,这个漏洞可能允许恶意行为者向用户发送RCE,从而可能使用户遭受特制媒体文件的攻击。
安全公司澄清道,该漏洞仅限于桌面应用程序,这些应用程序可以执行文件中包含的程序。移动应用程序不受影响,因为它们不执行程序。
出于安全考虑,CertiK建议用户在桌面应用程序上禁用自动下载功能。用户可以在应用程序的设置中将媒体下载设置调整为手动下载。
Telegram的回应
4月9日,在Telegram的一篇X平台(前Twitter)的帖子中表示,这些热门视频很可能是一个骗局,因为其平台上不存在此类漏洞。
尽管如此,该平台仍敦促用户通过其漏洞赏金计划报告其应用程序中的任何威胁或潜在漏洞。
与此同时,CertiK的一位发言人告诉记者,该公司没有与Telegram联系,有关漏洞的消息来自安全社区。他补充说,由于移动版本的即时通讯应用程序“不像桌面那样直接执行可执行程序,通常需要签名”,因此它不受此漏洞的影响。
CertiK进一步表示,其在社交媒体上发布有关漏洞的帖子旨在提高人们对潜在问题的认识,并提醒用户采取正确的防护措施。#Telegram #漏洞