Ledger:决定于2024年6月前不再允许用户使用Ledger设备进行盲签
Ledger 在社交媒体上发文表示,在上周的大规模安全事件中,大约 60 万美元的资产受到影响,这些资产是从 EVM DApp 上盲签名的用户那里被盗的。Ledger 将尝试尽量于 2024 年 2 月底前帮助受影响的个人(包括非 Ledger 用户)追回资金,并承诺与 DApp 生态系统合作以允许 Clear Signing,目前决定在 2024 年 6 月之前不再允许使用 Ledger 设备进行盲签(Blind Signing)。
Ledger:警惕网络钓鱼和诈骗,只有两个官方账户
Ledger官方表示,请警惕正在进行的网络钓鱼和诈骗。Ledger只有两个真实的社交媒体帐户,@ledger和@ledger_support。其余的都是假账号,任何要求您提供 24 字秘密恢复短语的人都是犯罪分子。
Ledger Connect Kit 被黑之谜
据慢雾安全团队情报,北京时间 2023 年 12 月 14 日晚,Ledger Connect Kit 遭受供应链攻击,攻击者至少获利 60 万美元。慢雾安全团队第一时间介入分析,并发出预警:
MetaMask:MetaMask Portfolio和SDK用户未面临风险
MetaMask在X平台表示,Ledger已解决了当前问题,但目前建议用户等待24小时,然后再使用Ledger Connect套件与dapp进行交互。经过调查,我们确定MetaMask Portfolio和SDK用户从未面临风险。作为预防措施,我们暂时关闭了投资组合上的交易以进行更新。
慢雾余弦:建议清除浏览器缓存以消除Ledger恶意代码
慢雾创始人余弦在社交媒体就Ledger漏洞发文表示,1. Ledger模块ledgerhq/connect-kit被投毒问题基本得到了缓解,但被投毒代码可能还在浏览器缓存着,如果不是特别确定,一定清除下浏览器缓存(包括在用钱包 App 内置浏览器缓存);2. 用户一定要再三确认钱包的每一笔待签名内容;3. Ledger钱包本身不受影响;4. 这次供应链攻击细节很耐人寻味,这样的猎手在这个黑暗森林里并不稀有;5.Tether 出手及时,冻结了钓鱼获利的 USDT,对比起来,USDC 一如既往的无视。
Ledger安全漏洞导致多个以太坊应用程序遭受攻击
由于Ledger的安全漏洞,包括Zapper、SushiSwap、Phantom、Balancer和Revoke.cash在内的多个基于以太坊的应用程序在周四早些时候遭到攻击。这次攻击是由于Ledger Connect Kit的供应链攻击所导致的。尚不清楚有多少去中心化应用程序(dapps)受到影响,或者损失了多少资金。Sushi的首席技术官Matthew Lilley在Twitter上写道:“在进一步通知之前,请不要与任何dApps进行交互。”
黑客攻击导致DeFi协议受损,Ledger Connect Kit遭遇恶意代码注入,484,000美元被盗
周四,黑客在加密钱包公司Ledger维护的广泛使用的区块链软件Connect Kit的Github库中插入恶意代码后,窃取了48.4万美元。使用该库的几个主要的去中心化金融(DeFi)协议受到影响,用户被警告不要在这些协议更新之前使用去中心化应用程序(dApps)。Ledger的Connect Kit是一段代码,允许DeFi协议连接到加密硬件钱包。这个漏洞可能会影响所有使用Connect Kit的协议的前端,其中包括Sushi、Lido、Metamask和Coinbase等。虽然Ledger已经更新了自己的代码,但是每个使用Ledger的Connect Kit的协议都必须手动更新其库的版本才能完全减轻风险。
Safe:Ledger Connect漏洞已得到解决, 安全没有受到影响
Safe(前身Gnosis Safe)在X平台发文表示,Ledger Connect漏洞已得到解决。安全没有受到影响。Safe并未受到该漏洞的影响。安全应用程序和WalletConnect功能已恢复,为了增强安全性,攻击者的帐户已在UI中进行标记和标记。
Scopescan:Ledger攻击者正在转移资金,约15万美元已被转移
Scopescan在X平台表示,Ledger攻击者正在将资金转移到新地址,并将USDC兑换成ETH。到目前为止,已转移约15万美元的资产。之前该地址试图测试将一些ETH混合在ChangeNOW平台。
Ledger:正版且经过验证的Ledger Connect Kit版本1.1.8现可安全使用
Ledger在X平台发布漏洞最新更新,表示正版且经过验证的Ledger Connect Kit版本1.1.8现已传播并且可以安全使用。对于正在开发Ledger Connect Kit代码并与之交互的构建者:NPM 项目上的 connect-kit 开发团队现在是只读的,出于安全原因无法直接推送 NPM 包。 此外,恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包。-Ledger 的技术和安全团队收到了警报,并在Ledger意识到后40分钟内部署了修复程序。该恶意文件的存活时间约为 5 小时,但资金被耗尽的时间窗口仅限于不到两个小时。 团队正在提出投诉,并与执法部门合作进行调查,以找到袭击者,并且正在研究该漏洞以避免进一步的攻击。
