【#區(qū)塊鏈# #Ledger代碼庫攻擊者在泄露數(shù)十個Web3 Dapp后損失48萬美元#】
加密錢包提供商Ledger維護的一個代碼庫今天被泄露���,用戶資金面臨風(fēng)險超過五個小時。
根據(jù)etherscan.io的數(shù)據(jù)�,該地址持有75個代幣中的約66個ETH,價值約98000美元��,Lookonchain報告稱�,攻擊者成功流失了484000美元的資產(chǎn)。攻擊者的地址已被USDT發(fā)行商Tether列入黑名單���。
Ledger是用戶數(shù)量最大的硬件錢包提供商�,它在X上發(fā)布消息稱,其Ledger Connect Kit的安全版本正在自動傳播�����。該公司建議在再次與連接器交互之前等待24小時��。
攻擊者在所謂的“供應(yīng)鏈攻擊”中用惡意軟件感染了Ledger的Connect Kit���,這是一個流行的代碼庫���,有助于用戶錢包和dApp之間的交互
面臨風(fēng)險的加密用戶
任何使用加密錢包確認(rèn)交易的用戶,無論是否通過Ledger���,都有資金損失的風(fēng)險�����,因為許多web3 dapp都使用Ledger的庫。知名加密貨幣開發(fā)商敦促用戶不要與任何web3 dApp進行交互�。
Sushi首席技術(shù)官Matthew Lilley在社交媒體上指出了這一漏洞。Yearn的核心撰稿人Banteg發(fā)帖稱��,Ledger的圖書館已經(jīng)被破壞�,“被排水器取代了”
Ledger在發(fā)現(xiàn)該漏洞大約一小時后發(fā)推特稱已刪除惡意代碼����。
Ledger說:“該文件的惡意版本在歐洲中部時間下午2:35左右被正版替換�。”����。“您的Ledger設(shè)備和Ledger Live沒有受到損害……我們將在準(zhǔn)備就緒后盡快提供全面的報告����。”
Ledger siad表示����,盡管該公司在發(fā)現(xiàn)該惡意軟件后的40分鐘內(nèi)成功修補并修復(fù)了該問題,但該惡意軟件仍存活了5個小時����。Ledger還輪換了在其Github上發(fā)布的權(quán)限。
SushiSwap和Revoke���。Cash已經(jīng)用固定版本更新了他們的庫�,而Zapper宣布他們禁用了受損的前端�。
