加密貨幣錢包 Ledger 昨晚 9 點左右驚傳遭遇漏洞攻擊,由於 Web3 領域多個項目均與 Ledger 服務存在互動,導致此次駭客攻擊牽連項目甚廣,不過好在發現及時、反應快,所造損失並不算大..
(前情提要:出大事》暫時勿與任何Dapp互動!DeFi爆發大規模安全漏洞、Ledger錢包遭駭釀禍)
(背景補充:罵了也沒用!Ledger冷錢包堅持推出私鑰恢復服務「Ledger Recover」)
加密貨幣錢包 Ledger 昨晚 9 點左右驚傳遭遇漏洞攻擊,後續查明原因為其連結器 ledgerhq/connect-kit npm 遭到惡意代碼入侵。
最為重要的是,由於 Web3 領域多個項目均與 Ledger 服務存在互動,導致此次駭客攻擊牽連項目甚廣,一時間在社群和各大項目方中引起巨大恐慌。
受影響項目
經觀察,多個項目方已在第一時間對此做出反應,並警告用戶暫時不要與任何 Dapp(去中心化應用程式)產生互動,也不要輕易相信來自任何連結的簽名請求:
- 去中心化交易所 SushiSwap 技術長 Matthew Lilley 最早在 X 平台上發文警告,表示發現 Ledger Connect 套件遭受攻擊,Sushi 前端也遭到入侵。不過在昨(14)日晚 10 點半左右,Sushi 官方已發文表示問題得到解決,他們已刪除了網站中受損的 Ledger 連結器並恢復了全部功能。
- DeFi(去中心化金融)資管平台 Zapper 經安全團隊派盾報告,其前端同樣在昨晚遭遇入侵。
- Web3 安全機構 Blockaid 昨晚發文表示,去中心化社交媒體 Hey.xyz 同樣遭到攻擊。
- 代幣審批工具 Revoke.cash 昨晚同樣確認,包括自身在內的多個常用 Web3 應用已受到損害,同時在調查的過程中,他們也暫時關閉了網站,並建議用戶在此期間不要使用任何加密網站。在後續的更新中,Revoke.cash 也表示已刪除危險選項,並重新開放網站。
- 去中心化交易所 Kyber Network 昨晚表示,出於謹慎,已經及時禁用了前端 UI,並在經過檢查後再次重啟。
- 自動做市商 Balancer 同樣在昨日發文,警告用戶避免使用 Balancer 前端,直到事件結束。
- 加密貨幣錢包 MetaMask 發文,表示發現對 Ledger Connect Kit 的攻擊,並警告用戶在 MetaMask Portfolio 上執行交易前,需確保已在 MetaMask Extension 中啟用 Blockaid 功能。
- 流動性質押平台 Lido 針對 Ledger Connect Kit 惡意版本問題,表示作為預防措施,將暫時關閉其前端服務。
- 非同質化代幣(NFT)交易市場 OpenSea 表示,暫時禁用 OpenSea 和 OpenSea Pro 上的 Ledger Connect 支持,直到此事件結束。
受損金額
雖然眾多 Web3 項目,尤其是 DeFi 項目均受 Ledger 此次被駭事件牽連,但好在發現早、反應快、處理迅速,因此此次事件所遭損失在目前並不算多,鏈上數據監測團隊 Lookonchain 監測顯示,截至昨晚 11 點左右,Ledger Connect Kit 漏洞攻擊者竊取資金約為 48.4 萬美元,且已經將 4.334 枚 ETH 轉移到釣魚團夥 Angel Drainer。
A hacker attacked #Ledger and has stolen ~$484K assets.#LedgerExploiter transferred 4.334 $ETH to #AngelDrainer.
And the #AngelDrainer is also receiving assets currently and holds $363K assets.https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE
— Lookonchain (@lookonchain) December 14, 2023
同時,安全團隊慢霧創辦人餘弦也強調,實際上 Ledger 錢包本身沒有影響,受影響的是依賴於 Ledger 連結器的一些 Dapp。
另外,美元穩定幣 USDT 發行商 Tether 執行長 Paolo Ardoino 也表示,Tether 已經對 Ledger 漏洞攻擊者的錢包進行了凍結。
Tether just froze the Ledger exploiter address
— Paolo Ardoino 🍐 (@paoloardoino) December 14, 2023
駭客是誰?
昨日稍晚,0xScope 合夥人 0xSentry 在 X 上發文指出,此次攻擊事件很可能是 Ledger 前員工 JunichiSugiura 所導演的,因為攻擊者在代碼頁留下的數位痕跡涉及到 JunichiSugiura 的 Gmail 帳戶。
不過,不知出於何種原因,撰稿時該推文已被刪除,Ledger 官方目前也並未對攻擊者是誰發佈任何公告,因此駭客身份是否為其前員工,還有待繼續觀察。
Ledger 漏洞已經修復
值得高興的事,Leger 官方昨晚已經正式修復了其漏洞,並將 Ledger Connect Kit 版本更新至 1.1.8,表示現在已經可以安全使用,同時正與執法部門合作,以找到攻擊者。
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
另外,慢霧創辦人餘弦還在 X 上發文提醒用戶,建議清除瀏覽器上留存的 Ledger 惡意代碼:
1.Ledger 漏洞問題已經基本改善,但惡意代碼可能還在瀏覽器存著,如果不是特別確定,一定要清除瀏覽器緩存;
2.用戶需要再三確認錢包的待簽名內容;
3.Ledger 錢包本身不受影響;
4.這次攻擊的細節很耐人尋味;
5.Tether 及時出手凍結了肇事者地址,但 USDC 一如以往無所作為。
重点说下:
1. Ledger 模块 ledgerhq/connect-kit 被投毒问题基本得到了缓解,但被投毒代码可能还在你浏览器缓存着,如果你不是特别确定,一定清除下你的浏览器缓存(包括在用钱包 App 内置浏览器缓存)。别问我怎么清除,Google/ChatGPT 都可以给你答案。
2.…
— Cos(余弦)😶🌫️ (@evilcos) December 14, 2023
