BlockBeats 消息,2023年12 月 14 日,据 Lookonchain 监测,Ledger Connect Kit 漏洞黑客已窃取了约 48.4 万美元的资产,并将 4.334 枚 ETH 转移到 Angel Drainer(知名钓鱼团伙)。
硬件钱包服务 Ledger 允许用户购买、管理以及将自身数字化资产以离线方式安全存储,支持多种密币如比特币和以太坊。该公司提供的 Ledger dApps Connect Kit 库,允许 web3 应用连接到 Ledger 硬件钱包。今天,Ledger 公司提醒用户称,Ledger dApp Connect Kit 库被投毒遭供应链攻击,推送 JavaScript Wallet Drainer,窃取了价值60万美元的密币和 NFTs,因此应停止使用 web3 dApps。
Ledger 公司告诫用户称,其 Ledger Connect Kit 库遭投毒,被添加至该库中的恶意代码是一个 wallet drainer,可从连接到该 app 的密币和 NFTs 中实施偷盗。
Ledger Connect Kit 库的恶意版本已被删除,新的版本 1.1.8已上传至 Ledger 的分发渠道中。然而,所有潜在受影响的项目必须首先用非恶意版本替换恶意版本后才能安全使用。
从受影响的 GitHub 仓库发布的一份通知来看,该 wallet drainer 代码影响 Connect Kit 的1.1.5至1.1.7版本,是通过一个受陷的NPM账户被注入库中的。
另外,Ledger 建议用户通过相关指南“Clear Sign”所有交易。用户应在确保使用Connect Kit 安全版本之后才能与任何 DApp 进行交互。该公司还提醒称,目前正在发生的钓鱼攻击试图利用这一情况,并建议用户对于要求分享24个词机密恢复阶段的信息保持警惕。
Ledger 公司表示,今晨,一名离职员工遭钓鱼攻击,导致 NPMJS 账户遭攻陷,进而导致该库失陷,“攻击者发布了 Ledger Connect Kit 的恶意版本。该恶意代码使用恶意 WalletConnect 项目将资金重新路由至黑客的钱包。”Ledger 表示发现事件后40分钟内部署了修复方案,该受陷库仅存在了5个小时。
Ledger 公司向用户保证称,用于管理密币资产的核心硬件(Ledger 设备)和主要的软件应用 (Ledger Live) 并未失陷或直接受该供应链攻击影响。
Wallet Drainer
区块链安全公司 SlowMist 报道称,这次事件始于攻击者在 Ledger Connect Kit 1.1.5的代码中留下一条信息,可能目的是进行测试。在1.1.6和1.1.7版本中,植入了严重混淆的恶意 JavaScript 代码。
BleepingComputer 分析脚本后认为该恶意代码的功能是从 Coinbase、Trust Wallet和 MetaMask 中窃取密币和NFTs。目前,关于该事件的调查仍在进行中,因部署该 drainer 造成的影响或实际的损失尚未确定。不过有报道称,这次供应链攻击导致价值68万美元的财产被盗。
Ledger 表示已举报了黑客的钱包地址,Tether 也已经冻结了被盗的USDT。Ledger 承诺将在后续发布完整报告,目前正在着手修复该库并开展调查活动。
会员登录
