昨夜,黑客给玩 Web3 的用户放了一个小假。
12 月 14 日 20 点,Sushi 首席技术官 @MatthewLilley 在社交媒体上发布警告称:请用户切勿与任何 dApp 交互,直至另行通知。一个常用的 Web3 连接器似乎已被破坏,允许注入影响众多 dApp 的恶意代码。
不仅是 Zapper 和 Sushi 的前端受到损害,据统计有一百多个 dapp 受到影响。
这与硬件钱包提供商 Ledger 的软件库有关,原因是 LedgerHQ/connect-kit 从 CDN 加载 JavaScript,他们的 CDN 帐户已被泄露,正在将恶意 JavaScript 注入多个 dApp。有不少 DApp 都有依赖 Ledger 被投毒的代码库,影响面较广。
在各方提醒下,昨晚 Web3 的用户们给自己放了一个小假,暂时尽量不进行链上操作,以免与被投毒的 DApp 进行了交互。
前员工账户泄露,攻击团队早已潜伏
慢雾创始人余弦在社交媒体上发文表示,从代码编辑页面来看,本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了,但没有植入恶意代码,仅写入一些嘲讽信息。
1.1.6 版本开始植入恶意代码,但可能有点问题,随后发布了 1.1.7 带恶意代码的版本。最终,黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。
目前,Ledger、Walletconnect 和合作伙伴已经报告了黑客的钱包。Tether 冻结了攻击者的 USDT。
Ledger 正在提出投诉并与执法部门合作追查攻击者,同时还在分析漏洞利用,以防止未来的攻击。据信,袭击者的地址 0x658729879fca881d9526480b82ae00efc54b5c2d,正在接受审查。
Scope Protocol 联创 0xSentry 在社交媒体上发文表示,攻击者留下的数字痕迹中涉及 @JunichiSugiura(Jun,Ledger 前员工)的 Gmail 账户,后者的帐户可能已被泄露。
有开发者表示,一种可能的情况是,Jun 的 github 帐户已经泄露,并且 ledger 在他离开后忘记删除他的访问权限了。
在这个所谓的「黑暗森林」中,此类猎手并不罕见,在未来也有可能发生,因此用户需要注意防范。
虽然 Ledger 模块 ledgerhq/connect-kit 的安全问题已得到缓解,但可能存在被投毒代码残留在浏览器缓存中。这也适用于在钱包应用程序内置浏览器中的缓存。因此建议所有用户清除缓存,等待24小时后再进行钱包活动。
另外需注意,增加对待签名交易的警觉性。在区块链世界中,不可预知的安全威胁时有发生,因此仔细检查交易内容至关重要。