[加密艺术家]Ledger 解决了影响 dApp 的安全漏洞，50 美元

Ledger 解决了影响 dApp 的安全漏洞，造成 50 万美元的用户损失

钱包制造商追踪该漏洞的起源是针对前员工的网络钓鱼攻击。

Ledger 的 Connect Kit 库今天早些时候遭到破坏，影响了多个去中心化应用程序 (dApp) 的前端，包括 SushiSwap、Kyber、Revoke.cash、Phantom 和 Zapper。值得注意的是，受影响的钱包均基于以太坊虚拟机 (EVM)。

该漏洞涉及前端攻击，提示用户通过弹出窗口连接钱包，从而导致代币耗尽风险。受损的库被注入恶意代码，使黑客能够转移资金。 Ledger 已确认该漏洞并删除了该库的恶意版本，并将其替换为正版版本。

Ledger 将该漏洞的起源归因于针对前雇员的网络钓鱼攻击，不良行为者获得了访问权限内部信息。 SushiSwap 首席技术官 Matthew Lilley 的分析解释说，Ledger 从 CDN（内容分发网络）加载 JavaScript 配置，而没有对脚本进行版本锁定。随后 Ledger 的 CDN 遭到破坏，导致多个 dApp 被暴露。

在撰写本文时，Ledger 已确认其已成功传播正版 Ledger Connect Kit。

Ledger 的事后分析报告指出，他们已与 WalletConnect、Chainaanalysis 和 Tether 合作冻结了威胁行为者的钱包。这家硬件钱包公司还表示，他们已经轮换了发布到 GitHub 存储库的密钥。构建 Ledger Connect Kit 代码并与之交互的开发人员还被告知，NPM 存储库现在是只读的，禁用直接 NPM 包推送请求以保护项目。

Ledger 还表示，其硬件设备和 Ledger Live 应用程序没有受到损害。

Blockaid 是一家与 MetaMask、OpenSea 和 Rainbow 等加密钱包集成的 Web3 安全公司，估计由于 DApp 的损失，大约 50.4 万美元的价值被抹去。到利用。据未经证实的估计，该漏洞影响了以太坊、Avalanche、Arbitrum、Base、Optimism、Polygon 和 BSC 中大约 180 个钱包。

决议实施后，Ledger 董事长兼首席执行官 Paul Gauthier 发布了一封承认该漏洞造成不利影响的信函。

“这是一起不幸的孤立事件。这提醒我们，安全性不是静态的，Ledger 必须不断改进我们的安全系统和流程。在这一领域，Ledger 将实施更强大的安全控制，将我们实施严格软件供应链安全的构建管道连接到 NPM 分发渠道。” Gauthier 说道。

Ledger 尚未根据内部调查和与受影响用户的通信发布有关该漏洞影响的官方数据。