加密钱包提供商Ledger维护的一个代码库今天被泄露,用户资金面临风险超过五个小时。
根据etherscan.io的数据,该地址持有75个代币中的约66个ETH,价值约98000美元,Lookonchain报告称,攻击者成功流失了484000美元的资产。攻击者的地址已被USDT发行商Tether列入黑名单。
Ledger是用户数量最大的硬件钱包提供商,它在X上发布消息称,其Ledger Connect Kit的安全版本正在自动传播。该公司建议在再次与连接器交互之前等待24小时。
攻击者在所谓的“供应链攻击”中用恶意软件感染了Ledger的Connect Kit,这是一个流行的代码库,有助于用户钱包和dApp之间的交互
面临风险的加密用户
任何使用加密钱包确认交易的用户,无论是否通过Ledger,都有资金损失的风险,因为许多web3 dapp都使用Ledger的库。知名加密货币开发商敦促用户不要与任何web3 dApp进行交互。
Sushi首席技术官Matthew Lilley在社交媒体上指出了这一漏洞。Yearn的核心撰稿人Banteg发帖称,Ledger的图书馆已经被破坏,“被排水器取代了”
Ledger在发现该漏洞大约一小时后发推特称已删除恶意代码。
Ledger说:“该文件的恶意版本在欧洲中部时间下午2:35左右被正版替换。”。“您的Ledger设备和Ledger Live没有受到损害……我们将在准备就绪后尽快提供全面的报告。”
Ledger siad表示,尽管该公司在发现该恶意软件后的40分钟内成功修补并修复了该问题,但该恶意软件仍存活了5个小时。Ledger还轮换了在其Github上发布的权限。
SushiSwap和Revoke。Cash已经用固定版本更新了他们的库,而Zapper宣布他们禁用了受损的前端。