DeFi爆发大规模安全漏洞！技术长建议暂时停止互动

币圈去中心化金融(DeFi)爆发大规模安全漏洞，去中心化交易所SushiSwap技术长Matthew Lilley在周四(12月14日)晚间发文警告，市场常用的Web3 Connector疑似遭黑客攻击，后续查明原因是因大型加密货币钱包Ledger遭恶意入侵有关，强调暂时不要与任何去中心化应用程序(Dapp)互动，以免资金出现风险。

“警告！请勿与任何Dapp交互，直至另行通知！看来常用的 Web3连结器已经遭到破坏，向众多的应用程序注入恶意代码，”Matthew重点写道。

在后续的更新中，他发现，问题主要出现在那些集成了“被投毒的 Ledger Connect套件”的应用程序上。

他解释说：“究竟发生了什么？简而言之，Ledger犯下一个可怕的错误，首先，他们正在从CDN加载JS。再者，这些JS并非来自正版。最后，他们的CDN受到攻击。”

Web3反诈平台Scam Sniffer也指出，看起来是加密货币钱包Ledger的ledgerhq/connect-kit npm遭到入侵，进一步证实了信息的可信度。

值得一提的是，稍晚0xScope合伙人0xSentry在推特补充表示，此次攻击事件很可能是Ledger前员工JunichiSugiura所导演的，因为攻击者在代码页留下的数位痕迹涉及到JunichiSugiura的谷歌电子邮件帐户。

经观察发现，此次攻击事件牵连范围广泛，不止是Sushi交易平台，去中心化交易所Kyber Network也提到，出于安全考虑，将暂时禁用其前端UI(User Interface)页面，直到情况明确为止。

另外，加密货币钱包小狐狸(MetaMask)也在发文表示，已发现对Ledger Connect Kit的攻击，并警告用户停止使用Dapp程序。

“如果你是MetaMask用户，请在MetaMask Portfolio上执行任何交易之前，确保你已在MetaMask Extension中打开Blockaid功能。MetaMask Portfolio团队正在处理该问题，并已制定修复方案，很快将推出，”MetaMask官方强调。

根据最新处理状况，Ledger在北京时间周四晚间9点30分左右发文表示，他们已识别并删除了Ledger Connect Kit的恶意版本，目前正更新版本以替换恶意文件，同时也警告用户暂时仍然不要与任何Dapp进行交互。

至于投资者最为关注的确切有多少金额损失，目前官方仍在确认中。

针对此次攻击事件，区块链安全团队慢雾创始人余弦稍晚发文分析表示，针对Ledger此次攻击的黑客组织米，在ledgerhq/connect-kit 1.1.5版本时就开始篡改代码，不过那时还并未植入恶意代码，仅是嘲讽类信息。

他称：“1.1.6版本时则开始植入恶意代码，后续又发布了带有病毒的1.1.7版本。”

当前未完成彻底排查前，提醒投资者与Dapp钱包、应用程序或任何相关的链接都必须谨慎，最好如Matthew所警告的，暂时不要与任何Dapp进行互动，避免资金曝露在风险中。

最新进展：

Ledger Support在周五发布更新，官方写道：“正版Ledger Connect Kit 1.1.8现已全面发布。 Ledger和WalletConnect可以确认恶意代码已被停用。你现在可以安全地使用Ledger Connect套件了。”

但MetaMask官方强调：“Ledger已解决了当前问题，但目前建议用户等待24小时，然后再使用Ledger Connect套件与Dapp进行交互。”