使用Ledger连接库的多个DApps遭受了攻击

多个DApps使用Ledger连接库受到攻击

包括Zapper、SushiSwap、Balancer和Revoke.cash在內的多個去中心化應用程序（DApps）的前端於12月14日遭受了破壞。

SushiSwap首席技術官Mathew Lilley報告稱，一個常用的Web3連接器遭受了破壞，使惡意代碼被注入到多個DApps中。該鏈上分析師表示，Ledger庫證實了被破壞的情況，其中易受攻擊的代碼插入了資金盜取帳戶地址。

🚨🚨🚨 RED ALERT 🚨🚨🚨:

Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.

• 卡尔达诺DeFi生态系统总价值接近4.5亿美元，同时Layer 1推动升级，ADA暴涨17%
• 连怪Web3.0日报 | SBF的辩护律师在审判结果中掉进了坑
• 宇宙国际链基金会计划在2024年投入2600万美元用于生态系统发展

— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023

SushiSwap首席技術官指責Ledger導致多個DApps的持續易受攻擊和破壞。首席技術官聲稱，Ledger的內容傳遞系統（CDN）遭到破壞，接著發生了一系列糟糕的錯誤——首先從被破壞的CDN加載JavaScript代碼，並且未對加載的JavaScript進行版本鎖定。

Ledger連接器是許多DApps使用和維護的庫。添加了一個資金盜取器，這樣用戶帳戶中的資金不會自行流失。但是，瀏覽器錢包（如MM）的提示框會顯示並且可能使惡意行為者獲得資產的訪問權限。

鏈上分析師警告用戶避免使用使用Ledger連接器的任何DApps，並表示連接套件加載器也存在漏洞。任何使用LedgerHQ/connect-kit的DApp都容易受到攻擊。鏈上分析師補充說，這不是一次單獨的攻擊，而是針對多個DApps的大規模攻擊。

seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023

Polygon Labs副總裁Hudson Jameson 表示，即使Ledger更正了其庫中的錯誤代碼，使用並部署該庫的項目仍然需要更新內容，然後才能安全使用使用Ledger的Web3庫的DApps。

Ledger承認其代碼存在漏洞，並表示已刪除了惡意版本的Ledger Connect Kit。與此同時，正確版本正在被推送以替換現在的惡意文件。

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.

Your Ledger device and…

— Ledger (@Ledger) December 14, 2023

We will continue to update 算娘; if you have any questions or suggestions, please contact us!