由冷錢包製造商 Ledger 開發的「Ledger Connect Kit」昨(14)晚爆發漏洞攻擊,影響範圍恐覆蓋所有使用以太坊虛擬機(EVM)的錢包用戶,正當加密貨幣社群嚇得驚慌失措之際,Ledger 執行長 Pascal Gauthier 發出一封公開信,向外界交代事件來龍去脈以及最新進展,他表示,這次的駭客攻擊是一起「不幸的個別事件」,攻擊者的錢包現已被 Tether 凍結,他並承諾 Ledger 未來將加強安全控管。
Ledger Connect Kit 是一個 Javascript 程式碼庫,允許開發人員將他們的 DApp 連接到 Ledger,並且被許多 DApp 廣泛使用。根據 Pascal Gauthier 的說法,駭客事件的起因是一位前員工遭受網路釣魚攻擊,導致惡意人士在 Ledger 的 NPMJS(JavaScript 程式碼的套件管理器)上傳了惡意檔案。
這次駭客攻擊造成的損失金額最初估計達 48.4 萬美元,但根據 Web3 資安機構 Blockaid 的統計,失竊金額現在已升至 50.4 萬美元。
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
Pascal Gauthier 表示,該漏洞實際運行不到 2 個小時,Ledger 冷錢包或 Ledger Live 等產品也未受波及,目前已知受影響範圍僅限於使用 Ledger Connect Kit 的第三方 DApp 。
Ledger 在發現被入侵後已第一時間採取行動,與合作夥伴 WalletConnect 迅速更新了 NPMJS,最終成功在 40 分鐘內刪除並停用惡意程式碼。另一方面,雙方也向業界通報了攻擊者的錢包地址,目前該地址已被 Tether 凍結。
Pascal Gauthier 補充稱,Ledger 已就此事與當局接洽,並承諾將採取一切可能的措施來協助調查,接下來也將持續追蹤並協助用戶討回失竊的資金。
Pascal Gauthier 形容,這次的駭客攻擊是「一起不幸的個別事件」,為了避免類似的事件再次發生,Ledger 將加強安全控管,與 NPM 配送通路建立安全鏈。
Ledger 目前已發表最新的「Ledger Connect Kit 1.1.8 版本」,雖然已可以安全使用,但官方建議等待 24 小時並清除瀏覽器緩存。