阿里快讯(Alibtc.com):冷钱包知名大厂Ledger昨(14)晚9点左右惊传遭遇漏洞攻击,后续查明原因为其连接器ledgerhq/connect-kitnpm遭到恶意代码入侵。
最为重要的是,由于Web3领域多个项目均与Ledger服务存在互动,导致此次黑客攻击牵连项目甚广,一时间在社群和各大项目方中引起巨大恐慌。
Ledger执行长公开信:尽力帮助受影响的个人追回资金
在历经一个晚上的恐慌后,Ledger董事长兼执行长Pascal Gauthier稍早对昨天的漏洞攻击一事发布公开信,他写道:
12月14日,我们发现Ledger Connect Kit遭到了攻击,这是一个实现连接用户Ledger设备至第三方DApps(与钱包连接的网站)按钮的JavaScript库。
这次攻击是由于一位前员工遭受网络钓鱼攻击,导致恶意行为者能够将恶意文件上传到Ledger的NPMJS(JavaScript代码的包管理器,用于不同应用间的共享)。
Pascal Gauthier表示,此漏洞仅限于使用Ledger Connect Kit的第三方DApp,他还指出事情发生的40分钟内,Ledger就与Wallet Connect迅速行动,应对这次攻击,移除并停用了恶意代码。
信中强调,Ledger已提出投诉,将帮助受影响的个人尝试追回资金,目前正在试图找到攻击者,并已开始与执法部门合作和追踪资金,以从黑客手中追回被盗的资产。
Ledger建安全版本已部署、建议等待24小时再操作
值得庆幸的是,Leger官方已经正式修复了其漏洞,并将Ledger Connect Kit版本更新至1.1.8,使用者已可以安全使用Ledger Connect Kit,但仍建议等待24小时,同时清除浏览器快取再操作。
受损金额48.4万美元
虽然众多Web3项目,尤其是DeFi项目均受Ledger此次被黑事件牵连,但好在发现早、反应快、处理迅速,因此此次事件所遭损失在目前并不算多。
据链上数据监测团队Lookonchain监测显示,截至昨晚11点左右,Ledger Connect Kit漏洞攻击者窃取资金约为48.4万美元,且已经将4.334枚ETH转移到钓鱼团伙Angel Drainer。
需要注意的是,安全团队慢雾创办人余弦强调,实际上Ledger钱包本身没有影响,受影响的是依赖于Ledger连接器的一些Dapp。