法国加密硬体钱包旗舰公司 Ledger 正陷入混乱。其连接去中心化金融(DeFi)的系统代码中发现了一个令人担忧的缺陷,给公司及其用户带来了严重的安全挑战。
回到骇客
Ledger 的 Connect Kit 用于将去中心化应用程式(dapp)与 Ledger 产品集成,是骇客攻击的目标。这起事件最初由 Sushi 首席技术长 Matthew Lilley 报告,他警告用户钱包连接器遭到入侵。此缺陷允许注入影响许多 dapp 的恶意程式码。该攻击触发了一个弹出窗口,邀请用户连接他们的钱包,启动代币转移机制。
红色警报:
在另行通知之前,请勿与任何 dApp 互动。一个常用的 web3 连接器似乎已被破坏,允许注入影响众多 dApp 的恶意程式码。
—我是软体 (@MatthewLilley) 2023 年 12 月 14 日
Ledger Connect Kit 中的安全缺陷影响了 Zapper、SushiSwap、Phantom、Balancer 和 Revoke.cash 等关键 DeFi 协议,并对其他类似系统产生潜在影响。据区块链分析平台 Lookonchain 称,这次攻击背后的骇客至少窃取了 4.334 以太币(ETH),相当于近 484,000 美元。
一名骇客攻击了#Ledger,并窃取了约 48.4 万美元的资产。
#AngelDrainer 目前也正在接收资产并持有 36.3 万美元资产。
— Lookonchain (@lookonchain) 2023 年 12 月 14 日
这次安全漏洞发生后,法国独角兽公司的竞争对手 MetaMask 也受到了影响。意识到紧迫性,MetaMask 迅速做出反应,对其平台实施了关键更新。其技术人员保证,配备最新版本 v2.121.0 的用户应该能够安全地恢复交易,更新是自动完成的。
莱杰没有迟疑地做出反应
在发现安全漏洞两小时后,Ledger 迅速采取行动,以安全更新取代了受感染的连接器版本。同时,该公司提醒用户验证交易过程中显示的资讯的重要性。他们坚持认为,可靠的数据是出现在 Ledger 设备萤幕上的数据。该公司还建议用户保持警惕,如果按键上显示的资讯与其他萤幕上显示的资讯不同,请停止任何交易。
恐惧大于伤害:Tether 透过其领导人保罗·阿多伊诺 (Paolo Ardoino) 宣布冻结了利用者的地址。
Tether 刚刚冻结了 Ledger 漏洞者地址
—保罗·阿多伊诺 (@paoloardoino) 2023 年 12 月 14 日
这个故事的寓意是:即使是最坚固的橡树也会在风中弯曲。
