Ledger钱包遭入侵、DeFi爆发安全漏洞，损失待确认[多图]

DeFi（去中心化金融）领域最近经历了一次严重的安全漏洞事件。 SushiSwap的技术负责人Matthew Lilley在12月14日晚上发布了一条警告消息，称广泛使用的Web3 Connector可能受到黑客攻击。根据进一步的调查，这个安全问题与知名的加密货币钱包LEdger被恶意侵入有关。他强调了安全问题，并建议暂时避免与任何去中心化应用程序（Dapp）进行交互，以免资金遭受损失。

关于这次攻击，慢雾团队的创始人余弦进行了分析。他指出，在Ledger的ledgerhq/connect-kit的1.1.5版本中，黑客组织已经开始修改代码。尽管在这个版本中还没有加入恶意代码，但已包含了一些嘲讽性的信息。他总结了以下5个要点：

1. 在npmjs平台上，黑客组织利用了Ledger被投毒的模块。当前员工的npmjs账号被钓鱼劫持走后，攻击者可以任意发布带毒的模块版本。

2. 发布后的模块会自动更新到jsDelivr CDN下。

3. Ledger的Connect Kit直接引入了jsDelivr CDN的js文件，非常粗暴，没有文件哈希绑定，也没有严格限制引入的版本。

4. 前员工居然还遗留了这么重要的权限，内部安全管理机制需要加强，最坏的情况下，是否能有效地避免和及时发现内部作恶。

5. 需要注意的是，尽管Ledger npmjs被投毒的版本已被删除，但jsDelivr上仍然存在带毒的js文件。