Ledger Connect Kit攻擊事件復盤

2023-12-15 13:06 金色精選

免責聲明: 內容不構成买賣依據，投資有風險，入市需謹慎!

金色精選金色官方剛剛

關注

作者：極客Web3，來源：作者推特@eternal1997L

剛才，Ledger Connect Kit的npm庫1.1.5/1.1.6/1.1.7被黑客攻擊，其中植入了攻擊邏輯。

Ledger Connect Kit是用於dApp連接Ledger錢包的一個庫，被很多dApp集成，發布於Ledger的npm管理網站JSDELIVR上。

Ledger在該網站的账戶被盜，黑客將該庫替換爲了有害版本。

在本次攻擊的文件中可以看到，黑客直接用Drainer類替換了正常的窗口邏輯。

Drainer顧名思義就是榨取器，不僅會彈出僞造的DrainerPopup彈窗，也會處理各種資產的轉账邏輯。

在Drainer類的start()方法中，會檢查該錢包的余額，如果小於黑客設置的minimalDrainValue=0.001

主幣，則不會啓動攻擊。

顯然，在任何常見的EVM系網絡上，余額小於這個數的錢包都不太可能有任何有價值的資產，黑客也不想浪費時間。

然後开始搜索sweets“甜點”，也就是你的資產。

對不同的資產，黑客喪心病狂地布置了約30多個case，包括ETH/BSC/ARB等知名主網的主幣和其上的知名項目的代幣、NFT等，只要你有相應的資產，就會直接觸發轉账動作。

以其中transferNative()轉走主幣爲例，雖然發送這一步還是要取得籤名的，但中招的用戶應該不少。

Ledger應對方法很簡單：奪回账號控制權，更新庫版本1.1.8，發布新庫。

可以看到1.1.8的更新記錄，沒有任何實際內容，只有版本號變化，因爲github上的代碼庫並沒有出問題。

Ledger在發布新版本後，一是可以讓开發者使用最新的1.1.8版本而非被黑客替換的版本，二是可以讓用戶檢查是否正在使用有問題的版本。

修復方法

對用戶而言，應訪問先訪問https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 看看圖中劃出來這部分文字是否是1.1.8 ，或者更高的版本，如果是則表示安全。

如果不是，進入瀏覽器的开發者工具，清除緩存後完成修復。

對开發者而言，應該更新項目內的npm依賴。已經上线的項目的且不是在线動態引用庫的項目，並且使用了有問題版本的，應該重新編譯和部署。

Q：我不是Ledger用戶，會不會受影響？

A：根據Ledger官方的介紹，這個庫是用來連接Ledger錢包的。但黑客修改了彈窗邏輯，其他錢包用戶也可能受影響。

Q：助記詞或者私鑰會被盜嗎？

A：不會。不論冷錢包和熱錢包，其keyring私鑰管理模塊都只在限定的場景內交出助記詞和私鑰（一般是用戶要求查看助記詞）。不可能暴露給任何其他函數調用。

0 好文章，需要你的鼓勵

了解更多區塊鏈一线報道，與作者、讀者更深入探討、交流，歡迎添加小助手QQ： 3150128700, 進入[金色財經讀者交流群]。

聲明：本文由入駐金色財經的作者撰寫，觀點僅代表作者本人，絕不代表金色財經贊同其觀點或證實其描述。

本文作者：金色精選

打开金色財經App 閱讀全文打开金色財經，閱讀體驗更佳金色財經 > 金色精選 > Ledger Connect Kit攻擊事件復盤免責聲明: 金色財經作爲开放的資訊分享平台，所提供的所有資訊僅代表作者個人觀點，與金色財經平台立場無關，且不構成任何投資理財建議。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。

標題：Ledger Connect Kit攻擊事件復盤

地址：https://www.sgitmedia.com/article/18213.html