駭客將程式碼插入Ledger 的ConnectKit 庫中,顯示虛假的錢包連接提示,旨在耗盡用戶的資金。
今天,在硬體錢包公司Ledger 遭受疑似「供應鏈攻擊」後,DeFi 平台SushiSwap、Zapper 和Revoke.cash 遭到入侵。這次駭客攻擊允許駭客將程式碼插入Ledger 的ConnectKit 庫中。該代碼使他們能夠顯示虛假的錢包連接提示,旨在耗盡用戶的資金。
SushiSwap 是最早發現這次攻擊的平台之一。根據SushiSwap 技術長Matthew Lilley 的推文,許多DeFi 平台使用的常用Web3 連接器已外洩。這使得攻擊者能夠注入影響眾多應用程式的惡意程式碼。
在官方聲明中,SushiSwap 警告用戶避免任何意外的「Connect錢包」彈出視窗:
該攻擊的原則是誘騙用戶批准虛假交易,從而耗盡他們的數位貨幣包中的資金。雖然惡意程式碼無法直接存取使用者的Ledger 裝置或種子短語,但它可以顯示虛假提示,旨在說服使用者簽署詐欺交易。
SushiSwap 和Revoke.cash 都已將其前端平台下線以保護用戶,同時對駭客攻擊的調查仍在繼續。 Zapper 似乎也受到了影響。
雖然Ledger 設備等硬體錢包上持有的資金仍然安全,但如果用戶連接到受損的DApp,他們可能會在不知不覺中批准交易,從而導致盜竊。
Ledger現已在其X帳戶上發布了官方聲明:
這是一個正在發展的故事,將會更新。
本文包含第三方網站或其他內容的鏈接,僅供參考(「第三方網站」)。第三方網站不受CoinMarketCap 的控制,CoinMarketCap 不對任何第三方網站的內容負責,包括但不限於第三方網站中包含的任何鏈接,或對第三方網站的任何更改或更新。聚會網站。 CoinMarketCap 向你提供這些連結只是為了方便起見,包含任何連結並不意味著CoinMarketCap 對該網站或其經營者的任何關聯的認可、批准或推薦。本文旨在使用且必須僅用於提供資訊的目的。在做出與所描述的任何產品或服務相關的任何重大決策之前,請務必進行自己的研究和分析。本文無意也不應被解釋為財務建議。本文所表達的觀點和意見僅代表作者本人 [company’s] 擁有且不一定反映CoinMarketCap 的內容。
資訊來源:由0x資訊編譯自COINMARKETCAP。版權所有,未經許可,不得轉載