Sushi 技術長 Matthew Lilley 於今晚發出警告,常用的 Web3 connector 疑似已遭入侵,暫時不要與任何 dApp 交互!耐心等待進一步通知。
在後續的更新中發現,問題主要出在那些集成了「被投毒的 Ledger Connect 套件」的 dApp。Matthew Lilley 在後續的推文中做出了詳細的解釋。
此外,慢霧創辦人余弦也在X平台上發文解釋:
「Ledger的一個模組被供應鏈劫持篡改了,特別注意下這個風險,主要是不知道影響面多廣,可能不少 DApp 都有依賴 Ledger 被投毒的庫 ledgerhq/connect-kit。大家警惕下所有 DApp 相關操作,注意錢包待簽名的請求資訊是不是預期內的。」
包含 Sushi、Zapper 和 RevokeCash 的前端都已因此受影響。Kyber 也基於安全原因關閉前端。受影響的 dApp 前端可能會顯示惡意交易引誘用戶進行簽名,一旦簽署並確認,可能會直接導致用戶資金損失。根據 ZachXBT 統計,目前初估已有 61 萬美元以上的資產失竊,出於安全考量,請用戶在事件落幕之前不要與任何 dApp 交互。
Ledger 官方不久後發文表示,團隊已識別並刪除 Ledger Connect Kit 惡意版本,現在正在推送正版版本來替代惡意檔案,但仍建議使用者請暫時不要與任何 dApp 互動。
《更新 12 月 25 日 10:50(UTC+8)》
根據 Ledger 官方公告,新的 Ledger Connect Kit 1.1.8 安全版本已完成推播,並確認 Ledger 和WalletConnect 惡意程式碼已停用,問題基本已得到緩解,使用者現在可以安全使用 Ledger Connect Kit。
不過,慢霧創辦人余弦警告,被投毒代碼可能還在你瀏覽器緩存著,如果要確保最高的安全性,建議先清除瀏覽器快取,等待 24 小時之後再操作會更安全。此外,在與 dApp 交互時看清楚簽署的交易訊息是否正常。
