原創- Odaily

作者- Loopy

今日，著名的硬錢包品牌Ledger 出現重大安全事故。雖然Ledger 有出售自己的硬件錢包，但這一事故波及面極廣，遠不止錢包自身，更有大量dApp 被暴露於風險之下。目前，尚未有受損資金統計。

Odaily提醒用戶，在情況明朗前，請先暫停一切EVM 鏈上互動。

Ledger 出現了什麼問題？

首先，這次攻擊並非針對Ledger 的硬體錢包，而是針對dApp 進行。在Ledger 的GitHub 上， Ledger Library 中的Ledger ConnectKit 套件的代碼遭到了惡意篡改。

被修改的部分，則是用於Ledger 的WalletConnect 這一功能之中。

Ledger ConnectKit是Ledger 提供的服務，具體來說，它可以減輕開發者的工作。眾所周知，dApp 如果想進行交互，則必須要連接錢包，那麼如何和錢包產生「鏈接」呢？開發者當然可以參考錢包的文檔，自行開發連接部分的代碼，但更成熟、更簡便的方式是，使用體驗優秀的、第三方的、成熟的“連接器”，直接使用由大廠開發的“連接”功能。

WalletConnect 就是這樣的一個服務。它可以讓使用者的錢包和dApp 產生連接，因此這項功能與幾乎所有鏈上用戶都息息相關，影響範圍遠超過硬件錢包的用戶。

哪些服務受到影響？

目前，受到影響的全部dApp 清單尚無明確統計。但由於Ledger 強大的影響力，大量的dApp 整合了這項功能，因此可以判斷，受影響的dApp 範圍極廣。

Odaily再次提醒廣大用戶，目前先停止一切EVM 鏈上的互動行為。

甚至，連以「取消授權」功能而聞名的Revoke.cash 都受到了影響。這也讓部分本未受到影響的用戶，在取消授權時，不幸遇到了風險事件。有社群用戶反映，Revoke.cash 網站的漏洞頗為嚴重，他甚至未曾進行錢包鏈接，僅僅只是打開前端，Web 網頁就已在試圖相其電腦植入木馬。

Revoke.cash於X 平台發文表示，Revoke.cash 已暫時關閉了網站，建議在該漏洞被利用期間不要使用任何加密網站。

Sushi 是最早被發現收到影響的平台之一。Sushi CTO Matthew Lilley 在X 平台預警表示：「在另行通知之前，請不要與任何Dapp 互動。某個Web3常用的連接器（connector）」疑似遭遇破壞，現可被注入影響眾多DApp 的惡意程式碼。 」安全團隊派盾PeckShieldAlert 指出，其社區貢獻者報告稱Zapper 和Sushi 的前端已受到損害。

跨鏈DEX 專案Kyber Network 在X 平台發文表示，出於謹慎考慮，已停用前端UI，直到情況明確為止。

目前，已有包括Trader Joe、Hey 在內的部分Dapp 表態已主動暫停與Ledger 連接器集成，直至另行通知。

當然，也有「逃過一劫」的項目，Aava 創始人Stani 就表示，Aava 暫未受影響，所有資金安全。但在Ledger 進一步澄清之前，仍不要使用DApp。

安全事件發酵後，市場大盤發生動盪，或為受此事件影響。歐易OKX 行情顯示，BTC 一度下探至41202 USDT， 1 小時內振幅4.4% 。 ETH 一度下探至2226 USDT 1 小時內振幅3.35% 。

最新進展更新

Scope Protocol 聯創0xSentry 在X 平台稱，攻擊者留下的數字痕跡中涉及@JunichiSugiura（Jun，Ledger 前員工）的Gmail 帳戶，後者的帳戶（資訊）可能已被洩露。

22 點44 分，根據Lookonchain 監測，Ledger Connect Kit 漏洞駭客已竊取了約48.4 萬美元的資產。 Ledger 攻擊者將4.334 枚ETH 轉移到Angel Drainer。

Tether 執行長Paolo Ardoino 在X 平台上表示，Tether 剛剛凍結了Ledger 漏洞者的位址。

安全形勢現已恢復？

12 月15 日（即事件發生的隔天），Ledger 在X 平台發文表示，正版Ledger Connect Kit 1.1.8 安全版本已推播。確認Ledger 和WalletConnect 惡意代碼已停用。用戶已可以安全地使用Ledger ConnectKit，但建議等待24 小時並清除瀏覽器緩存。

Ledger CEO 則發佈公開信，表示將幫助受影響的個人。信中表示，這起事件是由於一名前員工遭受網絡釣魚攻擊，導致惡意行為者在Ledger 的NPMJS（JavaScript 代碼的套件管理器）上傳惡意檔案。
Ledger 已與合作夥伴迅速消除了漏洞，並試圖快速凍結被盜資金，該漏洞實際上運行了不到兩個小時。此漏洞僅限於使用Ledger Connect Kit 的第三方DApp，目前正在調查中，Ledger 已提出投訴，並將幫助受影響的個人嘗試追回資金。
Ledger 將支援受影響的用戶，幫助找到攻擊者並將其繩之以法，追踪資金，並與執法部門合作，幫助從駭客手中追回被盜的資產。
先前消息，Tether 執行長Paolo Ardoino 在X 平台發文表示，Tether 已經凍結Ledger 漏洞利用者位址的USDT。
此外，Ledger 表示，正版Ledger Connect Kit 1.1.8 安全版本已推送。確認Ledger 和WalletConnect 惡意代碼已停用。用戶已可以安全地使用Ledger ConnectKit，但建議等待24 小時並清除瀏覽器緩存。

受影響的網站也紛紛表示，完成更新。

Revoke.cash 表示，已從網站刪除Ledger 漏洞，重新開放存取。 Sushi 也刪除了受損的Ledger 連接器，網站現已重新上線。

雖然這次事件波及範圍龐大，但似乎被盜資金並不龐大，也是不幸中的萬幸中了。目前來看，這事件已經逐漸走入尾聲。