Ledger在X平台發布漏洞最新更新,表示正版且經過驗證的Ledger Connect Kit版本1.1.8現已推送並且可以安全使用。對於正在開發Ledger Connect Kit程式碼並與之互動的建構者:NPM專案上的connect-kit開發團隊現在是唯讀的,出於安全原因無法直接推送NPM包。惡意程式碼使用流氓WalletConnect專案將資金重新路由到駭客錢包。 Ledger的技術和安全團隊收到了警報,並在Ledger意識到後40分鐘內部署了修復程序。該惡意文件的存活時間約為5小時,但資金耗盡的時間窗口僅限於不到兩個小時。團隊正在提出投訴,並與執法部門合作進行調查,以找到攻擊者,並且正在研究漏洞以避免進一步的攻擊。
dark