扬帆股票网(www.yfbx.cn):昨(15)日晚间,一句ju「暂时不要与任何DApp互动」的警告讯息在社群媒体上炸zha开。因为冷钱包baoLedger使用的代码ma库Ledger Connect Kit遭黑客注入恶意代码,使攻击者能够窃取互动钱包中的资金。
受影响的DApp项目mu广泛,包括Zapper、SushiSwap、Phantom和Balancer等多个ge以太坊基础应用程序均受波及。所幸SushiSwap的技术长changMatthew Lilley及时发现并迅速回应,因此造成的损失相对较小。
根据链上数据监测团队Lookonchain贴文指zhi出,截止昨晚11点,黑客共窃取约48.4万美mei元的资金。
Tether冻结攻击者zhe的地址
面对这一yi安全漏洞,稳定币发行商Tether快速作出回应表biao示,已冻结了攻击ji者的地址。
Tether的这一举措能防止攻击者将jiang钱包中的USDT资产转出,目前qian该地址还持有约2.7万美mei元的USDT;值得一提ti的是,该钱包似乎还曾与Angel Drainer网wang络钓鱼组织有交易往来,向其发送了le4.334枚ETH。
Ledger的修复措施
虽然在多方协作下该事shi件很快获得控制,Ledger官方也迅速对这一漏洞进jin行了修复,并已更新Ledger Connect Kit至最新的1.1.8版ban本。不过为了进一步确保安全,仍建议yi使用者等待24小xiao时之后再开始操作,并建议在此期间清qing除浏览器快取。
Ledger透露,这次安全漏洞是由于一yi名前员工遭到钓鱼攻击所suo致,攻击者因此得以访问该员工的账zhang户并注入了恶意代码。Ledger进一步说明:该恶意代dai码利用了被窜改的Wallet Connect项目,这是一个普遍用于连接区qu块链应用和用户钱包的开源代码项xiang目。在这次攻击中,攻击者zhe对Wallet Connect的代码进行了le修改,将其转变为一个ge恶意工具。通过这个被篡改gai的Wallet Connect项目,攻击者能够重zhong新导向用户的交jiao易,使资金被转移到攻击者控制的钱包bao中,而非原定的接收方fang。
Ledger表示,在发现此事件后hou,他们在短短40分钟内迅速部bu署了修复措施。公司还指出,这个ge恶意档案大约存在了5小xiao时,但实际上资金被bei盗取的时间窗口不超chao过2小时。
不过这次攻gong击对DeFi生态系xi统造成一次独特的「供应ying链攻击」,使得多项协议变得脆弱,值zhi得安全团队与各ge项目方好好反思,未来lai该如何在错综复杂的区块kuai链网络中确保安全。
