今天出现了一个严重的 Web3 安全问题,据报道影响了多个去中心化应用程序。该问题与 dapp 所依赖的硬件钱包提供商 Ledger 的软件库有关。
该事件导致恶意代码被注入到众多 dapp 的前端,给用户及其资产带来重大风险。因此,如果使用多个 dapp 的前端,则可能容易受到攻击。 Kyber 和 RevokeCash 等项目在 X 上确认他们禁用了前端。
安全公司 Blockaid 将其描述为针对 Ledger ConnectKit 的供应链攻击——攻击者用恶意代码替换了库软件以耗尽资产。
该问题的出现可能是由于托管上述软件库的特定内容交付网络 (CDN) 遭到破坏所致,LedgerHQ/connect-kit 从 CDN 加载 [JavaScript],他们的 CDN 帐户已被泄露,正在将恶意 注入多个 dApp,任何使用 LedgerHQ/connect-kit 的 dApp 都容易受到攻击。
Blockaid 估计事件发生后的最初几个小时内损失了 15 万美元。后来被盗资金价值超过50万美元。稳定币发行商 Tether 将黑客地址列入黑名单。
软件补丁已在更新中最终确定,在条件安全之前可能需要由 dapp 采用。 “与此同时,Lilley 和其他人警告用户避免与任何 dapp 交互,直至另行通知。
使用最广泛的 web3 钱包应用程序 MetaMask 表示 该事件影响所有用户,而不仅仅是 Ledger。它已为其应用程序部署了修复程序,并要求用户更新到最新版本。
热门推荐
相关文章
