据慢雾安全团队情报，北京时间 2023 年 12 月 14 日晚，Ledger Connect Kit 遭受供应链攻击，攻击者至少获利 60 万美元。慢雾安全团队第一时间介入分析，并发出预警：

MetaMask在X平台表示，Ledger已解决了当前问题，但目前建议用户等待24小时，然后再使用Ledger Connect套件与dapp进行交互。经过调查，我们确定MetaMask Portfolio和SDK用户从未面临风险。作为预防措施，我们暂时关闭了投资组合上的交易以进行更新。

慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，1. Ledger模块ledgerhq/connect-kit被投毒问题基本得到了缓解，但被投毒代码可能还在浏览器缓存着，如果不是特别确定，一定清除下浏览器缓存（包括在用钱包 App 内置浏览器缓存）；2. 用户一定要再三确认钱包的每一笔待签名内容；3. Ledger钱包本身不受影响；4. 这次供应链攻击细节很耐人寻味，这样的猎手在这个黑暗森林里并不稀有；5.Tether 出手及时，冻结了钓鱼获利的 USDT，对比起来，USDC 一如既往的无视。

由于Ledger的安全漏洞，包括Zapper、SushiSwap、Phantom、Balancer和Revoke.cash在内的多个基于以太坊的应用程序在周四早些时候遭到攻击。这次攻击是由于Ledger Connect Kit的供应链攻击所导致的。尚不清楚有多少去中心化应用程序(dapps)受到影响，或者损失了多少资金。Sushi的首席技术官Matthew Lilley在Twitter上写道：“在进一步通知之前，请不要与任何dApps进行交互。”

周四，黑客在加密钱包公司Ledger维护的广泛使用的区块链软件Connect Kit的Github库中插入恶意代码后，窃取了48.4万美元。使用该库的几个主要的去中心化金融（DeFi）协议受到影响，用户被警告不要在这些协议更新之前使用去中心化应用程序（dApps）。Ledger的Connect Kit是一段代码，允许DeFi协议连接到加密硬件钱包。这个漏洞可能会影响所有使用Connect Kit的协议的前端，其中包括Sushi、Lido、Metamask和Coinbase等。虽然Ledger已经更新了自己的代码，但是每个使用Ledger的Connect Kit的协议都必须手动更新其库的版本才能完全减轻风险。