去中心化交易所 SushiSwap 技術長 Matthew Lilley 今(14)晚 9 時許發文警告,常用的 Web3 connector 疑似遭駭客攻擊,後續查明原因是因加密貨幣錢包 Ledger 遭惡意入侵有關,提醒用戶暫時不要與任何 Dapp 互動。
(前情提要:警告!KyberSwap交易所遭竊4800萬鎂,駭客喊:談判等我睡醒後開始)
(背景補充:加密駭客攻擊解析|資產放在這些賽道和 DeFi 裡可能最危險!)
大規模安全漏洞警告!去中心化交易所 SushiSwap 技術長 Matthew Lilley 於晚間 9 點發文警告稱:常用的 Web3 connector 疑似遭到駭客攻擊,提醒用戶暫時不要與任何 Dapp(去中心化應用程式)互動:
警告!請勿與任何 dAPP 交互,直至另行通知!看來常用的 Web3 連結器已經遭到破壞,向眾多的 dAPP 注入惡意代碼。
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Ledger Connect 套件遭攻擊
在後續的更新中,SushiSwap 技術長 Matthew 發現,問題主要出現在那些集成了「被投毒的 Ledger Connect 套件 」的 dAPP 上:
發生了什麼?簡而言之,Ledger 犯下了一個可怕的錯誤:
1.他們正在從 CDN 加載 JS;
2.這些 JS 並非來自正版;
3.他們的 CDN 受到攻擊。
What happened?
In short, @Ledger made a chain of terrible blunders.
1. They are loading JS from a CDN.
2. They are not version locking loaded JS.
3. They had their CDN compromised.I would avoid using ANY dApps until their teams confirm that they have mitigated the attack. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Web3 反詐平台 Scam Sniffer 也發文指出,看起來是加密貨幣錢包 Ledger 的 ledgerhq/connect-kit npm 遭到入侵。
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
值得一提的是,稍晚 0xScope 合夥人 0xSentry 在 X 上發文補充表示,此次攻擊事件很可能是 Ledger 前員工 JunichiSugiura 所導演的,因為攻擊者在代碼頁留下的數位痕跡涉及到 JunichiSugiura 的 Gmail 帳戶。
https://twitter.com/0xSentry/status/1735294165628404181
影響範圍廣泛
經觀察發現,此次攻擊事件牽連範圍廣泛,不止 Sushi,去中心化交易所 Kyber Network 也在 X(原 Twitter)上發文表示,出於安全考慮,將暫時禁用其前端 UI,直到情況明確為止。
Notice: Out of caution, we have disabled our front-end UI until the situation is clear. We will provide an update soon. https://t.co/5DEfQv8WLI
— Kyber Network (@KyberNetwork) December 14, 2023
另外,加密貨幣錢包 MetaMask(小狐狸)也在稍晚發文表示,已發現對 Ledger Connect Kit 的攻擊,並警告用戶停止使用 dAPP:
如果你是 MetaMask 用戶,在 MetaMask Portfolio 上執行任何交易之前,請確保你已在 MetaMask Extension 中打開 Blockaid 功能,我們正在處理該問題,並已制定修復方案,將於今日推出。
If you’re a MetaMask user: Please ensure that you have the Blockaid feature turned on in MetaMask Extension before performing any transactions on MetaMask Portfolio. The MetaMask Portfolio team is on it and has a fix in place that will be rolled out today.
— MetaMask 🦊🫰 (@MetaMask) December 14, 2023
Ledger:已更新版本刪除惡意代碼
根據最新處理狀況,Ledger 在稍晚 9 點半左右發文表示,他們已識別並刪除了 Ledger Connect Kit 的惡意版本,目前正更新版本以替換惡意文件,同時也警告用戶暫時仍然不要與任何 dAPP 進行交互。
但確切有多少金額損失仍在確認中。
🚨We have identified and removed a malicious version of the Ledger Connect Kit. A genuine version is being pushed to replace the malicious file now.
Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger Support (@Ledger_Support) December 14, 2023
慢霧餘弦:攻擊早已出現
針對此次攻擊事件,區塊鏈安全團隊慢霧創辦人餘弦稍晚發文分析表示,針對 Ledger 此次攻擊的駭客組織在 ledgerhq/connect-kit 1.1.5 版本時就開始篡改代碼了,不過那時還並未植入惡意代碼,僅是嘲諷類資訊:
1.1.6 版本時則開始植入惡意代碼,後續又發佈了帶有病毒的 1.1.7 版本。
这个攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了,但没有植入恶意代码,都是嘲讽类信息。1.1.6 版本开始植入恶意代码,可能有问题,又发布了 1.1.7 带恶意代码的版本。
1.1.5 版本嘲讽信息如图底部的注释部分,有点疯。我截图了 15 张,每条只能发 4 张图,大家慢慢看… pic.twitter.com/PO1kziS73Z
— Cos(余弦)😶🌫️ (@evilcos) December 14, 2023
動區提醒投資者,有關多方仍在處理該事件,請暫時不要與 Dapp 或錢包的要求互動,保持謹慎。
📍相關報導📍
不是按錯?比特幣交易花「310萬鎂」手續費苦主:是遭駭客攻擊