“停止使用Dapps！”Ledger加密货币钱包的Connect Kit让用户暴露在风险中

太长没读

Ledger Crypto Wallet的Connect Kit漏洞导致数字资产被盗，价值超过50万美元。

Tether 为了尽量减少黑客攻击造成的加密货币损失，冻结了黑客的钱包。

Ledger、Sushiswap 和 Blockaid 向其用户提供了在加密货币攻击后应该采取的措施指南。

介绍

Ledger成为加密货币黑客攻击的最新受害者，损失了价值超过50万美元的数字资产。为了应对黑客事件，该公司与各种加密货币项目合作，以减少加密资产损失的程度。

今天，我们分析Ledger黑客攻击的原因及其对加密货币用户和其他组织的影响。我们还将评估Ledger及其合作伙伴如何减轻潜在的损失。

Ledger供应链攻击

Ledger Connect Kit被尚未知道的加密货币黑客攻击，导致价值超过50万美元的加密货币损失。在此事件之后，Ledger警告用户不要连接web3 dApp，因为这可能导致进一步的数字资产损失。

基本上，攻击者将一个Javascript钱包抽干器推入其’Ledger dApp Connect Kit’库，导致NFT和加密货币被盗。 Ledger dApps 连接工具包 使web3应用程序能够 链结 使用Ledger硬件钱包。

Ledger钱包使用户能够购买、转移和存储他们的数字资产，包括NFT和加密货币。用户可以将其数字资产离线存储，从而降低被攻击的风险。该钱包支持许多存在于不同区块链上的数字资产，如加密货币等。 以太坊 和 比特币.

Ledger警告用户避免连接其合作的各种web3 dapps的原因是攻击者入侵了其设备，添加了恶意代码-钱包抽取器。不过，需要注意的是，只有在用户将其钱包连接到相关dapps时，钱包抽取器才能窃取资产。

根据 在Github上的通知 恶意代码影响了Connect Kit的1.1.5至1.1.7版本。该代码是通过一个被攻破的NPM账户添加的。因此，在Ledger恢复Connect Kit的安全版本之前，用户必须停止连接相关的web3 dapps。

Ledger还警告用户关于加密货币钓鱼攻击，这些攻击在那段时间内持续进行，其他攻击者利用现有情况进行攻击。与此同时，建议用户不要分享他们钱包相关的种子短语或其他重要信息。

阅读也: 避免的顶级加密货币诈骗

Ledger在注意到其连接工具遭受攻击后不久，就与其用户进行了沟通，警告他们可能存在的危险。例如，该公司表示：“我们已识别并删除了Ledger连接工具的恶意版本。现在正在推送一个真实版本以替换恶意文件。

目前请勿与任何dApp互动。随着情况的发展，我们将随时向您提供信息。您的Ledger设备和Ledger Live未受到损害。

后来，它提供了关于情况的更新。它发布了一条消息，称：“恶意文件的版本已于中欧时间下午2:35被真实版本替换。新的真实版本应该很快传播。我们将在准备好后提供全面的报告。”

相关新闻： 为什么加密货币盗窃案件不断增加

它补充道：“与此同时，我们想提醒社区始终要清楚地签署您的交易-记住，您的Ledger屏幕上显示的地址和信息是唯一的真实信息。

如果你的Ledger设备屏幕和计算机/手机屏幕有差异，请立即停止该交易。

其他各方的反应

在莱杰钱包 Connect Kit 加密货币攻击的消息后，莱杰的合作伙伴积极警告他们的用户以防止进一步的盗窃。

Web3安全公司Blockaid是首批向加密货币社区提供供应链攻击建议的参与者之一。它在推特上表示：“我们发现了对ledger connect kit的潜在供应链攻击。攻击者在流行的NPM软件包中注入了一个可导致钱包被清空的有效负载。”

它补充说：“Dapps使用Ledger的connect-kit 1.1.4及以上版本，包括 Sushi.com和Hey.xyz受到影响。

以太坊核心开发者联络人哈德森·詹姆森进一步警告被盗加密货币的用户要小心。 他说“如果您不了解dapps当前使用的后端库，使用它们是有风险的。即使Ledger在他们的库中修正了错误的代码，使用和部署该库的项目在使用Ledger的web3库的dapps之前仍需要更新一些内容才能安全使用。”

Metamask 还建议其用户 关于如何在加密货币攻击之后进行操作的说明。它发布了这样一条消息：“Ledger用户：@blockaid 发现了针对Ledger Connect Kit的攻击。请停止使用dApps。

它进一步声明：“请停止使用dApps。如果您是MetaMask用户：请确保在执行MetaMask Portfolio上的任何交易之前，在MetaMask扩展中启用Blockaid功能。MetaMask Portfolio团队正在处理此事，并已经制定了修复方案，将在今天推出。”

Sushiswap还警告其用户在加密货币利用事件发生后小心行事。它建议他们不要与任何去中心化应用程序连接。它在X上发布，“如果您打开了Sushi页面并看到意外的‘连接钱包’弹出窗口，请不要交互或连接您的钱包。”

Sushi CTO Matthew Lilley更明确地发表了言论。他在推特上写道：“
在另行通知之前，请不要与任何dApps进行交互。 像Sushi、Metamask、Phantom等有几个去中心化金融协议。 Balancer, Lido, Coinbase 和 Zapper 都使用 Ledger 连接工具包 软件将去中心化应用程序与其产品链接起来。

因此，一旦加密货币黑客访问网站或应用程序的前端，他/她可以更改用户所见的功能，以将其资金转移到错误的目的地。Ledger在大约40分钟后意识到利用漏洞后成功纠正了系统。

Ledger发布了有关加密货币袭击事件的最新进展。它表示其前雇员成为了加密钓鱼攻击的受害者，这使得黑客能够将恶意代码插入其Connect Kit中。为了追回赃款，稳定币发行方Tether禁用了黑客的数字钱包。

阅读还有： 7个最佳加密货币钱包

结论

最近的加密货币黑客攻击导致恶意行为者窃取了价值超过60万美元的数字资产。在此之前，恶意行为者利用钓鱼攻击黑客了Ledger dApps Connect Kit。在黑客事件发生后，包括Ledger、Sushiswap和Blockaid在内的几家加密货币公司警告加密货币用户避免使用与Ledger dApps Connect Kit相连的去中心化应用。

关于Ledger钱包的常见问题？

Ledger是什么？

Ledger是一家拥有Ledger加密货币钱包的公司，这些设备用于存储数字资产。Ledger生态系统为人们提供了购买、存储和出售数字资产的机会。

哪个加密货币钱包最安全？

大多数人认为Trezor是目前市场上最安全的加密货币钱包。然而，其他硬件加密货币钱包如Ledger也非常安全。

如何保护你的加密货币安全？

您可以通过将加密货币存储在像 Gate.io 这样安全的加密货币交易所中来确保您的加密货币安全。同样，您可以将数字资产存储在像 Trezor 和 Ledger 这样的冷钱包中。