原創(chuàng) | Odaily星球日報
作者 | Loopy
今日,著名的硬件錢包品牌?Ledger?出現(xiàn)重大安全事故。雖然?Ledger?有出售自己的硬件錢包,但這一事故波及面極廣,遠不止錢包自身,更有大量?dApp 被暴露于風險之下。目前,尚未有受損資金統(tǒng)計。
Odaily星球日報提醒用戶,在形勢明朗前,請先暫停一切?EVM?鏈上交互。
首先,本次攻擊并非針對?Ledger?的硬件錢包,而是針對?dApp?進行。在?Ledger?的?GitHub?上,?Ledger?Library?中的?Ledger ConnectKit?套件的代碼遭到了惡意篡改。
被修改的部分,則是用于?Ledger?的?WalletConnect?這一功能之中。
Ledger ConnectKit是?Ledger?提供的一個服務,具體來說,它可以減輕開發(fā)者的工作。眾所周知,dApp?如果想進行交互,則必須要連接錢包,那么如何和錢包產(chǎn)生“連接”呢?開發(fā)者當然可以參考錢包的文檔,自行開發(fā)連接部分的代碼,但更成熟、更簡便的方式是,使用體驗優(yōu)秀的、第三方的、成熟的“連接器”,直接使用由大廠開發(fā)的“連接”功能。
WalletConnect?即是這樣的一個服務。它可以讓用戶的錢包和?dApp?產(chǎn)生連接,因此這一功能與幾乎所有鏈上用戶都息息相關,影響范圍遠超硬件錢包的用戶。
目前,受到影響的全部?dApp?列表尚無明確統(tǒng)計。但由于?Ledger?強大的影響力,大量的?dApp?均集成了這一功能,因此可以判斷,受影響的?dApp?范圍極廣。
Odaily星球日報再次提醒廣大用戶,目前先停止一切?EVM?鏈上的交互行為。
甚至,連以“取消授權(quán)”功能而著稱的?Revoke.cash?都受到了影響。這也讓部分本未受到影響的用戶,在取消授權(quán)之時,不幸遇到了風險事件。有社區(qū)用戶反映,Revoke.cash?網(wǎng)站的漏洞頗為嚴重,他甚至未曾進行錢包鏈接,僅僅只是打開前端,Web?網(wǎng)頁就已在試圖相其電腦植入木馬。
Revoke.cash于?X?平臺發(fā)文表示,Revoke.cash?已暫時關閉了網(wǎng)站,建議在該漏洞被利用期間不要使用任何加密網(wǎng)站。
Sushi?是最早被發(fā)現(xiàn)收到影響的平臺之一。Sushi CTO Matthew Lilley?于?X?平臺預警表示:“在另行通知之前,請不要與任何?Dapp?交互。某個Web3常用的連接器(connector)”疑似遭遇破壞,現(xiàn)可被注入影響眾多?DApp?的惡意代碼。”安全團隊派盾?PeckShieldAlert?指出,其社區(qū)貢獻者報告稱?Zapper?和?Sushi?的前端已受到損害。
跨鏈?DEX?項目?Kyber Network?在?X?平臺發(fā)文表示,出于謹慎考慮,其已禁用前端?UI,直到情況明確為止。
當前,已有包括?Trader Joe、Hey?在內(nèi)的部分?Dapp?表態(tài)已主動暫停與?Ledger?連接器集成,直至另行通知。
當然,也有“逃過一劫”的項目,Aava?創(chuàng)始人?Stani?就表示,Aava?暫未受影響,所有資金安全。但在?Ledger?進一步澄清之前,仍不要使用?DApp。
安全事件發(fā)酵后,市場大盤發(fā)生動蕩,或為受到此事件影響。歐易?OKX?行情顯示,BTC?一度下探至?41202 USDT,?1?小時內(nèi)振幅?4.4%?。ETH?一度下探至?2226 USDT?1?小時內(nèi)振幅?3.35%?。
喜來順財經(jīng)
