在歷經一個晚上的漏洞恐慌後,Ledger 董事長兼執行長 Pascal Gauthier 稍早對昨天的漏洞攻擊一事發布公開信,並強調將盡力幫助受影響的個人追回資金。
(前情提要:Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰….一文整理)
(背景補充:出大事》暫時勿與任何Dapp互動!DeFi爆發大規模安全漏洞、Ledger錢包遭駭釀禍)
冷錢包知名大廠 Ledger 昨(14)晚 9 點左右驚傳遭遇漏洞攻擊,後續查明原因為其連結器 ledgerhq/connect-kit npm 遭到惡意代碼入侵。
最為重要的是,由於 Web3 領域多個項目均與 Ledger 服務存在互動,導致此次駭客攻擊牽連項目甚廣,一時間在社群和各大項目方中引起巨大恐慌。
Ledger 執行長公開信:盡力幫助受影響的個人追回資金
在歷經一個晚上的恐慌後,Ledger 董事長兼執行長 Pascal Gauthier 稍早對昨天的漏洞攻擊一事發布公開信,他寫道:
12 月14 日,我們發現 Ledger Connect Kit 遭到了攻擊,這是一個實現連接用戶 Ledger 設備至第三方 DApps(與錢包連接的網站)按鈕的 JavaScript 庫。
這次攻擊是由於一位前員工遭受網絡釣魚攻擊,導致惡意行為者能夠將惡意文件上傳到 Ledger 的 NPMJS(JavaScript代碼的包管理器,用於不同應用間的共享)。
Pascal Gauthier 表示,此漏洞僅限於使用 Ledger Connect Kit 的第三方 DApp,他還指出事情發生的 40 分鐘內,Ledger 就與 WalletConnect 迅速行動,應對這次攻擊,移除並停用了惡意程式碼。
信中強調,Ledger 已提出投訴,將幫助受影響的個人嘗試追回資金,目前正在試圖找到攻擊者,並已開始與執法部門合作和追蹤資金,以從駭客手中追回被盜的資產。
Ledger 建安全版本已部署、建議等待 24 小時再操作
值得慶幸的是,Leger 官方已經正式修復了其漏洞,並將 Ledger Connect Kit 版本更新至 1.1.8,使用者已可以安全使用 Ledger Connect Kit,但仍建議等待 24 小時,同時清除瀏覽器快取再操作。
UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger (@Ledger) December 14, 2023
受損金額 48.4 萬美元
雖然眾多 Web3 項目,尤其是 DeFi 項目均受 Ledger 此次被駭事件牽連,但好在發現早、反應快、處理迅速,因此此次事件所遭損失在目前並不算多。
據鏈上數據監測團隊 Lookonchain 監測顯示,截至昨晚 11 點左右,Ledger Connect Kit 漏洞攻擊者竊取資金約為 48.4 萬美元,且已經將 4.334 枚 ETH 轉移到釣魚團夥 Angel Drainer。
需要注意的是,安全團隊慢霧創辦人餘弦強調,實際上 Ledger 錢包本身沒有影響,受影響的是依賴於 Ledger 連結器的一些 Dapp。
相關報導
不是按錯?比特幣交易花「310萬鎂」手續費苦主:是遭駭客攻擊
今年最大駭客攻擊》Mixin遭竊2億鎂、最多賠一半,社群質疑監守自盜..
