“停止使用Dapps！”Ledger加密貨幣錢包的Connect Kit讓用戶暴露在風險中

太長沒讀

Ledger Crypto Wallet的Connect Kit漏洞導致數字資產被盜，價值超過50萬美元。

Tether 為了儘量減少黑客攻擊造成的加密貨幣損失，凍結了黑客的錢包。

Ledger、Sushiswap 和 Blockaid 向其用戶提供了在加密貨幣攻擊後應該採取的措施指南。

介紹

Ledger成為加密貨幣黑客攻擊的最新受害者，損失了價值超過50萬美元的數字資產。為了應對黑客事件，該公司與各種加密貨幣項目合作，以減少加密資產損失的程度。

今天，我們分析Ledger黑客攻擊的原因及其對加密貨幣用戶和其他組織的影響。我們還將評估Ledger及其合作伙伴如何減輕潛在的損失。

Ledger供應鏈攻擊

Ledger Connect Kit被尚未知道的加密貨幣黑客攻擊，導致價值超過50萬美元的加密貨幣損失。在此事件之後，Ledger警告用戶不要連接web3 dApp，因為這可能導致進一步的數字資產損失。

基本上，攻擊者將一個Java錢包抽乾器推入其’Ledger dApp Connect Kit’庫，導致NFT和加密貨幣被盜。 Ledger dApps 連接工具包 使web3應用程序能夠 鏈結 使用Ledger硬件錢包。

Ledger錢包使用戶能夠購買、轉移和存儲他們的數字資產，包括NFT和加密貨幣。用戶可以將其數字資產離線存儲，從而降低被攻擊的風險。該錢包支持許多存在於不同區塊鏈上的數字資產，如加密貨幣等。 以太坊 和 比特幣.

Ledger警告用戶避免連接其合作的各種web3 dapps的原因是攻擊者入侵了其設備，添加了惡意代碼-錢包抽取器。不過，需要注意的是，只有在用戶將其錢包連接到相關dapps時，錢包抽取器才能竊取資產。

根據 在Github上的通知 惡意代碼影響了Connect Kit的1.1.5至1.1.7版本。該代碼是通過一個被攻破的NPM賬戶添加的。因此，在Ledger恢復Connect Kit的安全版本之前，用戶必須停止連接相關的web3 dapps。

Ledger還警告用戶關於加密貨幣釣魚攻擊，這些攻擊在那段時間內持續進行，其他攻擊者利用現有情況進行攻擊。與此同時，建議用戶不要分享他們錢包相關的種子短語或其他重要信息。

閱讀也: 避免的頂級加密貨幣詐騙

Ledger在注意到其連接工具遭受攻擊後不久，就與其用戶進行了溝通，警告他們可能存在的危險。例如，該公司表示：“我們已識別並刪除了Ledger連接工具的惡意版本。現在正在推送一個真實版本以替換惡意文件。

目前請勿與任何dApp互動。隨著情況的發展，我們將隨時向您提供信息。您的Ledger設備和Ledger Live未受到損害。

後來，它提供了關於情況的更新。它發佈了一條消息，稱：“惡意文件的版本已於中歐時間下午2:35被真實版本替換。新的真實版本應該很快傳播。我們將在準備好後提供全面的報告。”

相關新聞： 為什麼加密貨幣盜竊案件不斷增加

它補充道：“與此同時，我們想提醒社區始終要清楚地簽署您的交易-記住，您的Ledger屏幕上顯示的地址和信息是唯一的真實信息。

如果你的Ledger設備屏幕和計算機/手機屏幕有差異，請立即停止該交易。

其他各方的反應

在萊傑錢包 Connect Kit 加密貨幣攻擊的消息後，萊傑的合作伙伴積極警告他們的用戶以防止進一步的盜竊。

Web3安全公司Blockaid是首批向加密貨幣社區提供供應鏈攻擊建議的參與者之一。它在推特上表示：“我們發現了對ledger connect kit的潛在供應鏈攻擊。攻擊者在流行的NPM軟件包中注入了一個可導致錢包被清空的有效負載。”

它補充說：“Dapps使用Ledger的connect-kit 1.1.4及以上版本，包括 Sushi.com和Hey.xyz受到影響。

以太坊核心開發者聯絡人哈德森·詹姆森進一步警告被盜加密貨幣的用戶要小心。 他說“如果您不瞭解dapps當前使用的後端庫，使用它們是有風險的。即使Ledger在他們的庫中修正了錯誤的代碼，使用和部署該庫的項目在使用Ledger的web3庫的dapps之前仍需要更新一些內容才能安全使用。”

Metamask 還建議其用戶 關於如何在加密貨幣攻擊之後進行操作的說明。它發佈了這樣一條消息：“Ledger用戶：@blockaid 發現了針對Ledger Connect Kit的攻擊。請停止使用dApps。

它進一步聲明：“請停止使用dApps。如果您是MetaMask用戶：請確保在執行MetaMask Portfolio上的任何交易之前，在MetaMask擴展中啟用Blockaid功能。MetaMask Portfolio團隊正在處理此事，並已經制定了修復方案，將在今天推出。”

Sushiswap還警告其用戶在加密貨幣利用事件發生後小心行事。它建議他們不要與任何去中心化應用程序連接。它在X上發佈，“如果您打開了Sushi頁面並看到意外的‘連接錢包’彈出窗口，請不要交互或連接您的錢包。”

Sushi CTO Matthew Lilley更明確地發表了言論。他在推特上寫道：“
在另行通知之前，請不要與任何dApps進行交互。 像Sushi、Metamask、Phantom等有幾個去中心化金融協議。 Balancer, Lido, Coinbase 和 Zapper 都使用 Ledger 連接工具包 軟件將去中心化應用程序與其產品鏈接起來。

因此，一旦加密貨幣黑客訪問網站或應用程序的前端，他/她可以更改用戶所見的功能，以將其資金轉移到錯誤的目的地。Ledger在大約40分鐘後意識到利用漏洞後成功糾正了系統。

Ledger發佈了有關加密貨幣襲擊事件的最新進展。它表示其前僱員成為了加密釣魚攻擊的受害者，這使得黑客能夠將惡意代碼插入其Connect Kit中。為了追回贓款，穩定幣發行方Tether禁用了黑客的數字錢包。

閱讀還有： 7個最佳加密貨幣錢包

結論

最近的加密貨幣黑客攻擊導致惡意行為者竊取了價值超過60萬美元的數字資產。在此之前，惡意行為者利用釣魚攻擊黑客了Ledger dApps Connect Kit。在黑客事件發生後，包括Ledger、Sushiswap和Blockaid在內的幾家加密貨幣公司警告加密貨幣用戶避免使用與Ledger dApps Connect Kit相連的去中心化應用。

關於Ledger錢包的常見問題？

Ledger是什麼？

Ledger是一家擁有Ledger加密貨幣錢包的公司，這些設備用於存儲數字資產。Ledger生態系統為人們提供了購買、存儲和出售數字資產的機會。

哪個加密貨幣錢包最安全？

大多數人認為Trezor是目前市場上最安全的加密貨幣錢包。然而，其他硬件加密貨幣錢包如Ledger也非常安全。

如何保護你的加密貨幣安全？

您可以通過將加密貨幣存儲在像 Gate.io 這樣安全的加密貨幣交易所中來確保您的加密貨幣安全。同樣，您可以將數字資產存儲在像 Trezor 和 Ledger 這樣的冷錢包中。