Ledger ConnectKit 库受到 Drainer 攻击,给用户带来安全风险 Web3 应用
简单来说
Ledger 的 ConnectKit 库遭到破坏,用一个漏水脚本替换了合法工具,该脚本暴露了许多 Web3 应用。
发生安全漏洞 Web3 领域,损害 账本连接套件 库,对于将 Ledger Live 与应用程序链接起来至关重要。 这次黑客攻击涉及用“drainer”脚本替换库,对用户资金构成严重威胁。
受感染的包 ConnectKit — 自动从 cdn.jsdelivr.net 加载 JavaScript 脚本(其中包含一个 Drainer)到全局范围内。
这种渗透使得使用该库的应用程序的前端容易受到攻击,特别是在用户授权之后。 报告表明,攻击者改变了钱包连接模式窗口,使所有钱包所有者面临风险,而不仅仅是那些使用钱包的人 Ledger Live.
🚨我们已经识别并删除了 Ledger Connect Kit 的恶意版本。 🚨
- Ledger(@Ledger) 2023 年 12 月 14 日
现在正在推送正版版本来替换恶意文件。 暂时不要与任何 dApp 交互。 随着情况的发展,我们将随时向您通报情况。
您的 Ledger 设备和……
Ledger 发出的警告 安保行业
包括 Banteg 在内的著名加密货币安全专家已经确认了 Ledger 库的妥协,并建议不要与任何去中心化应用程序进行交互(dApps)直到出现更清晰的情况。 该漏洞似乎还会影响 ledger connect-kit-loader,因为它松散地指定了依赖项。
正如使用该攻击的受影响库和应用程序列表所示,该攻击可能会影响广泛的各方。 @ledgerhq/connect-kit。 Ledger 建议使用 connect-kit 加载器来加载 connect-kit,这加剧了这个问题,因为即使是固定版本的加载器也会获取最新版本的 connect-kit,从而导致广泛的渗透。
🚨 账本库已确认遭到破坏并被 Drainer 取代。 等待与任何 dapp 交互,直到事情变得更加清晰。https://t.co/xapunW8zC3 pic.twitter.com/nlac11vhdv
-班特格(@bantg) 2023 年 12 月 14 日
攻击者仅针对 connect-kit 就成功地破坏了大量的库。 Ledger 将版本 1.1.4 确定为最后一个已知的安全版本,但认为攻击当天发布的 1.1.7 之前的所有版本都已受到损害。
此次安全事件凸显了强有力的网络安全措施在快速发展的环境中的至关重要性。 Web 3.0 域,即使是像 Ledger 库这样成熟的工具也不能免受复杂的网络攻击。
免责声明
在与行 信托项目指南,请注意,本页提供的信息无意且不应被解释为法律、税务、投资、财务或任何其他形式的建议。 重要的是,仅投资您可以承受损失的金额,并在有任何疑问时寻求独立的财务建议。 如需了解更多信息,我们建议您参阅条款和条件以及发行人或广告商提供的帮助和支持页面。 MetaversePost 致力于提供准确、公正的报告,但市场状况如有变更,恕不另行通知。
关于作者
Nik 是一位出色的分析师和作家 Metaverse Post,专注于为快节奏的技术世界提供前沿见解,特别注重人工智能/机器学习、XR、VR、链上分析和区块链开发。 他的文章吸引了不同的受众并为他们提供信息,帮助他们保持技术领先地位。 Nik 拥有经济和管理硕士学位,对商业世界的细微差别及其与新兴技术的交叉点有着深入的了解。
更多文章Nik 是一位出色的分析师和作家 Metaverse Post,专注于为快节奏的技术世界提供前沿见解,特别注重人工智能/机器学习、XR、VR、链上分析和区块链开发。 他的文章吸引了不同的受众并为他们提供信息,帮助他们保持技术领先地位。 Nik 拥有经济和管理硕士学位,对商业世界的细微差别及其与新兴技术的交叉点有着深入的了解。