已回報損失,請用戶謹慎操作
專門從事 Web3 安全的網路安全公司 BlockAid 透露,由於將惡意程式碼整合到即時網站中,已造成約 15 萬美元的巨額損失。不過,Ledger 向用戶保證,只要他們不進行交易,他們的資產就是安全的。
Ledger 執行長 Ido Ben-Natan 強調,未經用戶事先確認,該漏洞無法實施,但承認許多網站受到影響,並警告用戶可能受到影響。
去中心化交易平台 SushiSwap 在其平台上解決了該問題,並承認 Ledger 連接器存在漏洞,該連接器可能會將惡意程式碼注入各種去中心化應用程式 (dApp)。
Revoke.cash 和 Ledger 的預防措施
作為一項安全措施,Revoke.cash(一項使用戶能夠收回授予 Web3 應用程式的交易簽名功能的服務)暫時中止了其前端操作,以防止用戶欺騙。
Ben-Natan 特別警告不要與 Revoke.cash 進行交互,因為它容易受到攻擊。 Ledger官方帳號確認了潛在的攻擊向量,並表示惡意程式碼已被清除。
Ledger 軟體的新版本目前正在傳播,預計一旦啟動即可完全消除威脅,具體取決於第三方 dApp 的快取。
保持警覺並了解狀況
雖然惡意程式碼最近才出現,並且只有採取進一步行動才可能導致資金被盜,但專家建議謹慎行事,不要使用加密網路應用程式。 WalletConnect 是 dApp 開發者廣泛使用的接口,未與 Ledger 直接集成,也向用戶發出了警告。
Ledger 公共關係主管 Philip Costigan 敦促用戶暫時避免與任何 dApp 交互,並向他們保證,隨著情況的發展,會定期更新。
在先前的事件中,例如 SushiSwap 代幣銷售平台攻擊,用戶損失了大約 865 ETH(當時為 300 萬美元,目前為 200 萬美元)。這些攻擊涉及 DNS 操縱,將毫無戒心的用戶重定向到正版平台網站的假冒版本,從而導致資金被重定向到攻擊者。
更新於2023 年12 月14 日東部時間上午8:34、東部時間上午8:53、東部時間上午9:03 和東部時間上午9:15,包含來自Ledger 和BlockAid 的更多資訊和評論。