0
Items : 0
Subtotal : ¥0.00
View CartCheck Out

Ledger钱包被黑,硬件钱包还安全吗?

Ledger出现重大安全事故,影响范围极广,甚至连Revoke.cash都受到了影响,攻击者已窃取约48.4万美元的资产。建议用户暂停EVM链上交互行为,直至Ledger澄清情况。Revoke.cash于X平台发文表示:“与Ledger ConnectKit库集成的多个常用加密应用程序(包括Revoke.cash)已受到损害。在进一步调查过程中,我们暂时关闭了该网站。我们建议在该漏洞利用期间不要使用任何加密网站。”

Ledger董事长兼首席执行官Pascal Gauthier就Ledger Connect Kit漏洞发布公开信,12月14日,Ledger在Ledger Connect Kit(一个用于将网站连接到钱包的Javascript库)上遭到漏洞利用,Ledger已与合作伙伴消除了该漏洞,并试图快速冻结被盗资金,该漏洞实际上运行了不到两个小时。此漏洞仅限于使用Ledger Connect Kit的第三方DApp,目前正在调查中,Ledger已提出投诉,并将帮助受影响的个人尝试追回资金。Ledger将支持受影响的用户,帮助找到攻击者并将其绳之以法,追踪资金,并与执法部门合作,帮助从黑客手中追回被盗的资产。

Ledger表示,正版Ledger Connect Kit 1.1.8版本已推送。确认Ledger和WalletConnect恶意代码已被停用。用户已可以安全使用Ledger Connect Kit,但建议等待24小时并清除浏览器缓存。

慢雾创始人余弦在X平台发文表示,针对Ledger Connect Kit漏洞事件,项目方目前需要注意:
1. Ledger被投毒的模块在npmjs平台上,前员工的npmjs账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,没有文件哈希绑定,没有严格限制引入版本。
4. 前员工居然还遗留这么重要的权限,内部安全管理机制得好好增强了,最坏原则,如果内部作恶,是否可以有效避免并及时发现。
5. 需要注意下,虽然Ledger npmjs被投毒的版本已经删除,但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴,别偷懒,每一次安全事件都是复盘自身的好机会。

Leave a Reply