加密货币连接库漏洞 DApp遭攻击需紧急修补

在2023年12月18日,多个去中心化应用程序(DApps)的前端,其中包括Zapper、SushiSwap、Phantom、Ballancer和Revoke.cash,在使用Ledger连接器时受到了入侵。在发现安全漏洞近三个小时后,Ledger报告称,恶意版本的文件已于UTC时间下午1:35左右被替换为其正版版本。

Ledger提醒用户始终清除签名交易,并补充说,Ledger屏幕上的地址和信息是唯一真实的信息。如果您的Ledger设备屏幕和您的电脑/手机屏幕显示的内容有差异,请立即停止交易。

SushiSwap首席技术官Matthew
Lilley是第一个报告此问题的人。他指出,一个常用的Web3连接器被入侵,恶意代码被注入到许多DApps中。链上分析师表示,Ledger库证实了该漏洞,其中易受攻击的代码插入了排水器账户地址。

0.png

在这次事件中,Ledger连接器的安全漏洞可能对许多使用该连接器的DApps造成了严重影响。攻击者可能会利用这个漏洞来窃取用户的数字资产或者执行其他恶意行为。因此,Ledger和相关DApps团队需要尽快采取措施修复漏洞并保护用户的数据安全。同时,用户也需要保持警惕,谨慎使用数字资产,并确保他们使用的DApps是安全的。

红色警报:

在进一步通知之前,不要与任何dApp进行交互。似乎一个常用的web3连接器已被入侵,允许恶意代码注入,影响众多dApp。

— 我就是软件 (@MatthewLilley) 2023 年 12 月 18 日

Lilley将Ledger归咎于多个DApps持续存在的漏洞和妥协。这位高管声称,Ledger的内容分发网络受到了攻击,JavaScript是从受攻击的网络加载的。

看起来像是账簿

——骗局嗅探器| Web3反诈骗(@realScamSniffer) 2023年12月18日

Ledger
connector是一个由许多DApps使用并由Ledger维护的库。添加了一个钱包排水器,因此从用户帐户中提取资产可能不会自行发生。但是,像MetaMask这样的浏览器钱包会显示提示,并可能使恶意行为者访问资产。

Lilley警告用户避免使用Ledger连接器的任何DApps,并补充说“连接套件”也很容易受到攻击,这不是一次单独的攻击,而是对多个DApps的大规模攻击。

红色警报:

在进一步通知之前,不要与任何dApp进行交互。似乎一个常用的web3连接器已被入侵,允许恶意代码注入,影响众多dApp。

— www.Yfhhf.coM 我是软件 (@MatthewLilley) 2023年12月18日

Lilley 指责 Ledger 在多个 DApp 上持续存在的漏洞和妥协。这位高管声称,Ledger 的内容分发网络受到了攻击,JavaScript
从受到攻击的网络中加载。

看起来Ledger的@ledgerhq/connect-kit npm包被黑客攻击了,最新发布是在2小时前。

— 骗局嗅探器 | Web3反诈骗 (@realScamSniffer) 2023年12月18日

Ledger
connector是一个由许多DApps使用并由Ledger维护的库。添加了一个钱包排水器,因此从用户帐户中提取资产可能不会自行发生。但是,像MetaMask这样的浏览器钱包会显示提示,并可能使恶意行为者访问资产。

Lilley警告用户避免使用Ledger连接器的任何DApps,并补充说“连接套件”也很容易受到攻击,这不是一次单独的攻击,而是对多个DApps的大规模攻击。

Blockaid的联合创始人兼首席执行官Ido Ben-Natan告诉Cointelegraph:

“分类账用户如果不进行交易就不会面临风险。它不会在事先批准的情况下被利用。Revoke.cash
尤其受到影响,所以不要与之交互。过去两个小时,受影响的资金数量达到数十万美元。许多网站仍然受到影响,用户也受到了打击。”

Ledger承认其代码中的漏洞,并表示已“删除了Ledger Connect
Kit的恶意版本”,并补充说“现在正在推出一个正版版本来替换恶意文件。”

我们已经识别并删除了Ledger Connect Kit的恶意版本。

目前正在推出一个真正的版本来替换恶意文件。请暂时不要与任何dApp进行交互。我们将随时向您通报情况。

您的Ledger设备和…

——Ledger(@Ledger),2023年12月18日

本文部分内容来自互联网,如有疑问请与我们联系。

发布者:币侠,转转请注明出处:https://www.yfhhf.com/qukuai/262768.html

(0)
上一篇 2024年 3月 8日 下午6:14
下一篇 2024年 3月 8日 下午7:00

相关推荐

  • 比特币中的现金是什么意思,和比特币有没有关系

    事实上,销售市场觉得,在管控、产品构造多样化等情况下,加密货币的销售市场会更加完善,BTC的不确定性也会慢慢减少,所以其风险性也会相对性有一定的降低。Glassnode全新剖析表明,加密货币保证金期货合约占比自2021年春天的大牛市至今一直在降低,已从均值约66-69%降低到46%,这代表着现阶段超出一半(54%)的期货合约要以现钱或现金等价物当做保证金,减…

    2023年 1月 17日
    2200
  • BLN币怎么样?值得购买吗?

    黑网由黑币作者Rat4开发,是基于账户的可扩展股权证明网络,总量10亿,通过燃烧黑币获得,以前黑币作为首个进行纯权益证明方式运行的币种,代码曾被很多的项目复制,黑网的代码这次是在JPL保护下发币,以后任何用使用BLN代码的项目都要空投10%的代币给黑网持有人,因为该项目无ico,也无预挖,因此黑网项目方肯定是没有钱的,也不可能做市值管理,所以黑网的价格主要靠…

    区块链 2023年 2月 9日
    3470
  • 比特币私钥有多少位数?

    比特币私钥是一个256位的随机数,通过SHA-256算法产生。比特币私钥的定义非常简单,一个是256位(256个二进制数字)另一个是随机数,意思是这个数的产生没有规律。 也就是说,比特币私钥是一个数字,这个数字可以取从0到22-1之间的任意值。 或许你会说,这个比特币私钥也太简单了吧。我随便写一个数,只要不超过最大值,不就是可以破解比特币私钥了么?如果你真的…

    2022年 12月 9日
    8580
  • okex交易所官网页app_okex交易所app官方网站下载

    okex交易所官网网页版是一款专为数字货币交易打造的在线平台,海量信息资讯每天都有新的内容不断上线,用户一定要及时上线来阅读,及时了解最新的行情动态讯息,这样就能更好的进行投资理财了。币侠网为您提供kex交易所app官方网站下载!   okex交易所官网网页版产品特性 1、专业的莱特币比特币交易平台,正规可靠; 2、提供一站式的交易服务,轻松在线操…

    区块链 2022年 10月 29日
    2530
  • 推出uni.eth用户名!Uniswap宣布与以太坊域名服务商ENS合作!

    推出uni.eth用户名旨在提升uniswap品牌影响力,并促进钱包用户群的扩大。这项服务免费向所有uniswap手机钱包应用程序用户提供,也将向未来新加入的用户开放。 Uniswap团队与以太坊域名服务商ENS宣布合作,推出uni.eth后缀的用户名,旨在取代传统钱包地址。这一举措将免费提供给Uniswap手机钱包app的用户,并希望通过此举提升品牌知名度…

    2024年 4月 15日
    2340

联系我们

不接风险内容

在线咨询: QQ交谈

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信