爆炸性新闻：链上数据揭示热门去中心化应用存在安全威胁

爆炸性新闻：经多位软件专家证实，周三发生的一次针对热门Web3连接器的黑客攻击导致多个热门去中心化应用（dApps）被 compromise。

“在进一步通知之前，请不要与任何 dApps 进行交互，” SushiSwap 的首席技术官 Matthew Lilley 在一篇文章中警告道。 “似乎一个常用的 web3 连接器已经受到 compromise，允许注入恶意代码影响多个 dApps。”

涉及的连接器是“Ledger Connector”，这是一款来自流行的钱包提供商的工具，允许加密用户将他们的移动钱包连接到去中心化应用，如交易所和借贷平台。

因此，这次攻击不仅仅影响一个 dApp，而是任何可能使用 Ledger 连接套件的 dApp。

🚨🚨🚨 紧急警告🚨🚨🚨:

在进一步通知之前，请不要与任何 dApps 进行交互。似乎一个常用的 web3 连接器已经受到 compromise，允许注入恶意代码影响多个 dApps。

— I’m Software 🦇🔊 (@MatthewLilley) 2023年12月14日

随后，Ledger 确认恶意代码已被识别并从其库中删除，用户钱包未受到影响。

公司表示：“一个真正的版本正在被推送，以替换恶意文件。”

其他 X 用户，如 @bantg，在事先确认 Ledger 的软件库已被 compromise，并“替换为一个排水器”，新字段如“minimalDrainValue”被插入其代码。

鉴于过去几小时数据库的频繁更新，旁观者不相信真正的 Ledger 公司负责。

根据 Web3 安全公司 Remedy 的黑客关系专家 @officer_cia 表示，一些受影响的 dApps 包括 Sushi，以及 DeFi 仪表板 Zapper 和 “钱包卫生” 服务 Revoke.cash。

远离dApps，专家警告

Polygon Labs 副总裁 Hudson Jameson 承认了这次黑客攻击，并警告加密用户不要使用任何dApps。“这是一个正在发生的情况，如果你不了解它们使用的后端库，目前使用dApps是有风险的，”他说。

仅仅访问dApp网站本身不会导致用户的资金流失，但浏览器钱包（如MetaMask）的某些提示将邀请用户错误地将他们的资产交给黑客。

“Ledger知道这件事吗？是的，他们知道并正在处理，”Jameson说。然而，即使Ledger纠正了任何恶意代码，使用Ledger库的项目仍需要“更新事务”。

这是Ledger今年第二次因安全实践不善而受到指责。

在五月，Ledger因其“Ledger Recover”钱包服务而受到抨击，引发担忧相应的固件更新将允许用户的私钥从他们的钱包中提取。

在批评平息之后，该公司在十月底推出了该产品。