Ledger爆大規模資安、眾多DApp受影響,慢霧:勿操作,靜待各方更新
Ledger 模組遭劫持
資安機構慢霧 (SlowMist) 創辦人余弦 14 日晚間推文稱,Ledger 模塊遭供應鏈劫持並篡改,有許多 DApp 皆仰賴受影響的 Ledger Connect Kit,尚不清楚影響層面有多廣,用戶若需執行 DApp 操作應更加謹慎。
包括 Balancer、Zapper、Sushi 前端皆受影響,權限查詢工具 Revoke.cash 也表示已暫時關閉網站。
Ledger 的一个模块被供应链劫持篡改了,特别注意下这个风险,主要是不知道影响面多广,可能不少 DApp 都有依赖 Ledger 被投毒的库 ledgerhq/connect-kit。大家警惕下所有 DApp 相关操作,注意钱包待签名的请求信息是不是预期内的。 https://t.co/rg06suM793
— Cos(余弦)😶🌫️ (@evilcos) December 14, 2023
Ledger:刪除惡意版本,暫勿與任何 DApp 互動
Ledger 在此後推文表示,已識別並刪除了 Ledger Connect Kit 的惡意版本,呼籲暫時勿與任何 DApp 互動,並強調 Ledger 硬體設備和 Ledger Live 並不受此影響,稍後將提供全面性事件報告。
廣告 - 內文未完請往下捲動
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
MetaMask:將釋出修復程式
MetaMask 針對此事件,建議用戶下載並開啟擴充軟體 Blockaid,MetaMask Portfolio 團隊已制定修復方案,將在稍後推出。
If you’re a MetaMask user: Please ensure that you have the Blockaid feature turned on in MetaMask Extension before performing any transactions on MetaMask Portfolio. The MetaMask Portfolio team is on it and has a fix in place that will be rolled out today.
— MetaMask 🦊🫰 (@MetaMask) December 14, 2023
余弦說道,各方的修復應對比想像中迅速,危機應該已消停,但他也有提到,现在最好就是什麼都不操作,靜待各方修復。
