近日,知名冷錢包製造商 Ledger 的代碼庫 Ledger Connect Kit 遭到駭客攻擊,遭竊取約 48.4 萬美元的資金。面對這一安全危機,穩定幣發行商 Tether 迅速回應,凍結了攻擊者的地址。
(前情提要:Ledger執行長回應被駭:全力追回資金!安全版本已上線、建議等待24小時再操作)
(背景補充:出大事》暫時勿與任何Dapp互動!DeFi爆發大規模安全漏洞、Ledger錢包遭駭釀禍)
昨(15)日晚間,一句「暫時不要與任何 DApp 互動」的警告訊息在社群媒體上炸開。因為冷錢包Ledger 使用的代碼庫 Ledger Connect Kit 遭駭客注入惡意程式碼,使攻擊者能夠竊取互動錢包中的資金。
受影響的 DApp 項目廣泛,包括 Zapper、SushiSwap、Phantom 和 Balancer 等多個以太坊基礎應用程式均受波及。所幸 SushiSwap 的技術長 Matthew Lilley 及時發現並迅速回應,因此造成的損失相對較小。
根據鏈上數據監測團隊 Lookonchain 貼文指出,截止昨晚 11 點,駭客共竊取約 48.4 萬美元的資金。
快速了解:Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰…一文整理
Tether 凍結攻擊者的地址
面對這一安全漏洞,穩定幣發行商 Tether 快速作出回應表示,已凍結了攻擊者的地址。
Tether 的這一舉措能防止攻擊者將錢包中的 USDT 資產轉出,目前該地址還持有約 2.7 萬美元的 USDT;值得一提的是,該錢包似乎還曾與 Angel Drainer 網路釣魚組織有交易往來,向其發送了 4.334 枚 ETH。
Ledger 的修復措施
雖然在多方協作下該事件很快獲得控制,Ledger 官方也迅速對這一漏洞進行了修復,並已更新 Ledger Connect Kit 至最新的 1.1.8 版本。不過為了進一步確保安全,仍建議使用者等待 24 小時之後再開始操作,並建議在此期間清除瀏覽器快取。
Ledger 透露,這次安全漏洞是由於一名前員工遭到釣魚攻擊所致,攻擊者因此得以訪問該員工的帳戶並注入了惡意代碼。Ledger 進一步說明:
該惡意代碼利用了被竄改的 WalletConnect 專案,這是一個普遍用於連接區塊鏈應用和用戶錢包的開源代碼專案。在這次攻擊中,攻擊者對 WalletConnect 的代碼進行了修改,將其轉變為一個惡意工具。
透過這個被篡改的 WalletConnect 專案,攻擊者能夠重新導向用戶的交易,使資金被轉移到攻擊者控制的錢包中,而非原定的接收方。
Ledger 表示,在發現此事件後,他們在短短 40 分鐘內迅速部署了修復措施。公司還指出,這個惡意檔案大約存在了 5 小時,但實際上資金被盜取的時間窗口不超過 2 小時。
不過這次攻擊對 DeFi 生態系統造成一次獨特的「供應鏈攻擊」,使得多項協議變得脆弱,值得安全團隊與各項目方好好省思,未來該如何在錯綜複雜的區塊鏈網路中確保安全。
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
延伸閱讀:Ledger執行長回應被駭:全力追回資金!安全版本已上線、建議等待24小時再操作
