风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

长推:Ledger Connect Kit攻击事件复盘

Ledger Connect Kit的npm库1.1.5/1.1.6/1.1.7被黑客攻击,植入了攻击逻辑,Ledger应对方法是夺回账号控制权,更新库版本1.1.8,用户应检查是否正在使用有问题的版本,并清除缓存完成修复。

@eternal1997L
@eternal1997L
热度 ...

原文作者:@eternal1997L

原文来源:X

注:原文来自@eternal1997L发布长推。

刚才,Ledger Connect Kit的npm库1.1.5/1.1.6/1.1.7被黑客攻击,其中植入了攻击逻辑。 Ledger Connect Kit是用于dApp连接Ledger钱包的一个库,被很多dApp集成,发布于Ledger的npm管理网站JSDELIVR上。 Ledger在该网站的账户被盗,黑客将该库替换为了有害版本。

Ledger

在本次攻击的文件中可以看到,黑客直接用Drainer类替换了正常的窗口逻辑。 Drainer顾名思义就是榨取器,不仅会弹出伪造的DrainerPopup弹窗,也会处理各种资产的转账逻辑。

Ledger

在Drainer类的start()方法中,会检查该钱包的余额,如果小于黑客设置的minimalDrainValue=0.001 主币,则不会启动攻击。 显然,在任何常见的EVM系网络上,余额小于这个数的钱包都不太可能有任何有价值的资产,黑客也不想浪费时间。

Ledger

然后开始搜索sweets“甜点”,也就是你的资产

Ledger

对不同的资产,黑客丧心病狂地布置了约30多个case,包括ETH/BSC/ARB等知名主网的主币和其上的知名项目的代币、NFT等,只要你有相应的资产,就会直接触发转账动作。

Ledger

以其中transferNative()转走主币为例,虽然发送这一步还是要取得签名的,但中招的用户应该不少。

关于【长推:Ledger Connect Kit攻击事件复盘】的延伸阅读

Ledger

Ledger应对方法很简单:夺回账号控制权,更新库版本1.1.8,发布新库 可以看到1.1.8的更新记录,没有任何实际内容,只有版本号变化,因为github上的代码库并没有出问题 Ledger在发布新版本后,一是可以让开发者使用最新的1.1.8版本而非被黑客替换的版本,二是可以让用户检查是否正在使用有问题的版本

Ledger

修复方法 对用户而言,应访问先访问https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1… 看看图中划出来这部分文字是否是1.1.8 ,或者更高的版本,如果是则表示安全。 如果不是,进入浏览器的开发者工具,清除缓存后完成修复。

Ledger

对开发者而言,应该更新项目内的npm依赖。已经上线的项目的且不是在线动态引用库的项目,并且使用了有问题版本的,应该重新编译和部署。

其他问题

Q:我不是Ledger用户,会不会受影响?

A:根据Ledger官方的介绍,这个库是用来连接Ledger钱包的。但黑客修改了弹窗逻辑,其他钱包用户也可能受影响。

Q:助记词或者私钥会被盗吗?

A:不会。不论冷钱包和热钱包,其keyring私钥管理模块都只在限定的场景内交出助记词和私钥(一般是用户要求查看助记词)。不可能暴露给任何其他函数调用。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:@eternal1997L,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1702630224.html

下一篇:

以太坊核心开发者最新会议摘要:Cancun/Deneb升级测试进展、Slashable信息更新

2023年12月14日,以太坊开发人员参加了ACDC call #124会议,讨论和协调共识层更改,包括Devnet #12测试网络上Cancun/Deneb升级的测试进展、Slashable信息传播的规则以及Libp2p网络协议的微小更改。开发者们计划在一到两周内启动Goerli阴影分支,测试Cancun/Deneb升级,并讨论切割事件的总成本取决于响应时间、测量区块传播时间以及减少对节点发送大消息的放大效应。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5