DeFi(去中心化金融)领域最近经历了一次严重的安全漏洞事件。 SushiSwap的技术负责人Matthew Lilley在12月14日晚上发布了一条警告消息,称广泛使用的Web3 Connector可能受到黑客攻击。根据进一步的调查,这个安全问题与知名的加密货币钱包LEdger被恶意侵入有关。他强调了安全问题,并建议暂时避免与任何去中心化应用程序(Dapp)进行交互,以免资金遭受损失。
关于这次攻击,慢雾团队的创始人余弦进行了分析。他指出,在Ledger的ledgerhq/connect-kit的1.1.5版本中,黑客组织已经开始修改代码。尽管在这个版本中还没有加入恶意代码,但已包含了一些嘲讽性的信息。他总结了以下5个要点:
1. 在npmjs平台上,黑客组织利用了Ledger被投毒的模块。当前员工的npmjs账号被钓鱼劫持走后,攻击者可以任意发布带毒的模块版本。
2. 发布后的模块会自动更新到jsDelivr CDN下。
3. Ledger的Connect Kit直接引入了jsDelivr CDN的js文件,非常粗暴,没有文件哈希绑定,也没有严格限制引入的版本。
4. 前员工居然还遗留了这么重要的权限,内部安全管理机制需要加强,最坏的情况下,是否能有效地避免和及时发现内部作恶。
5. 需要注意的是,尽管Ledger npmjs被投毒的版本已被删除,但jsDelivr上仍然存在带毒的js文件。