背后的团队 莱杰 确认了 14 月 610 日观察到的漏洞。 该问题与 Ledger 库有关。 该团队在官方声明中表示,已识别并删除了 Ledger Connect Kit 的恶意版本,攻击期间可能损失了约 XNUMX 万美元。
“现在正在上传正版版本以替换恶意文件。 此时请勿与任何 dApp 交互。 随着情况的发展,我们将随时向您通报情况。 您的 Ledger 设备和 Ledger Live 并未受到损害。”
Ledger 团队在更新其声明时表示,该文件的恶意版本已于欧洲中部时间下午 14:35 左右被原始版本替换。
“新的正版应该很快就会推广。 我们将在准备好后立即提供一份全面的报告。 同时,我们想提醒社区始终清楚地签署您的交易 - 请记住,您的分类帐屏幕上显示的地址和信息是唯一真实的信息。 如果你的 Ledger 设备上显示的屏幕与电脑/手机上的屏幕之间存在差异,请立即停止交易,”他警告说。
🚨我们已经识别并删除了 Ledger Connect Kit 的恶意版本。 🚨
现在正在推送正版版本来替换恶意文件。 暂时不要与任何 dApp 交互。 随着情况的发展,我们将随时向您通报情况。
您的 Ledger 设备和……
- Ledger(@Ledger) 2023 年 12 月 14 日
钱包账本安全警报:漏洞影响 DeFi 平台
去中心化交易所 SushiSwap 的 CTO Matthew Lilley 发表了一项重要声明, 警告投资者严重的安全漏洞。 Lilley 表示,用户应避免与任何 dApp 交互,直至另行通知。 该指南是在认识到 SushiSwap 平台受到恶意软件威胁后发布的。
正如 Lilley 所解释的,问题的根源与硬件钱包提供商 Ledger 的 GitHub 有关。 他强调了事态的严重性,并表示:
“在另行通知之前,请勿与任何 dApp 交互。 广泛使用的 web3 连接器似乎已受到损害,允许注入影响大量 dApp 的恶意代码。”
该声明指出了大规模的攻击,不仅针对单个 dApp,还针对其他多个 dApp,所有这些都与 Ledger 库相关。