Ledger代码库攻击者在泄露数十个Web3 Dapp后损失48万美元

Web3 2023-12-28 19:29:44

加密钱包提供商Ledger维护的一个代码库今天被泄露，用户资金面临风险超过五个小时。

根据etherscan.io的数据，该地址持有75个代币中的约66个ETH，价值约98000美元，Lookonchain报告称，攻击者成功流失了484000美元的资产。攻击者的地址已被USDT发行商Tether列入黑名单。

Ledger是用户数量最大的硬件钱包提供商，它在X上发布消息称，其Ledger Connect Kit的安全版本正在自动传播。该公司建议在再次与连接器交互之前等待24小时。

攻击者在所谓的“供应链攻击”中用恶意软件感染了Ledger的Connect Kit，这是一个流行的代码库，有助于用户钱包和dApp之间的交互

面临风险的加密用户

任何使用加密钱包确认交易的用户，无论是否通过Ledger，都有资金损失的风险，因为许多web3 dapp都使用Ledger的库。知名加密货币开发商敦促用户不要与任何web3 dApp进行交互。

Sushi首席技术官Matthew Lilley在社交媒体上指出了这一漏洞。Yearn的核心撰稿人Banteg发帖称，Ledger的图书馆已经被破坏，“被排水器取代了”

Ledger在发现该漏洞大约一小时后发推特称已删除恶意代码。

Ledger说：“该文件的恶意版本在欧洲中部时间下午2:35左右被正版替换。”。“您的Ledger设备和Ledger Live没有受到损害……我们将在准备就绪后尽快提供全面的报告。”

Ledger siad表示，尽管该公司在发现该恶意软件后的40分钟内成功修补并修复了该问题，但该恶意软件仍存活了5个小时。Ledger还轮换了在其Github上发布的权限。

SushiSwap和Revoke。Cash已经用固定版本更新了他们的库，而Zapper宣布他们禁用了受损的前端。