人们常说一星之火,可以燎原。这个类比在数字领域同样适用,一条钓鱼链接引发了加密货币领域的混乱,造成了普遍的恐慌和不确定性。罪魁祸首?加密钱包制造商 Ledger 的一名前雇员,他成为钓鱼诈骗的受害者。
揭开网络攻击的真相
钓鱼诈骗始于前 Ledger 雇员的姓名和电子邮件地址出现在被篡改的代码中。最初有人猜测这位开发者是攻击的幕后黑手。然而,Ledger 澄清称这次攻击是因为这名前雇员成为了钓鱼诈骗的受害者。
攻击者获得了前雇员的 NPMJS 账户的访问权限,NPMJS 是 JavaScript 编程语言的包管理器,攻击者有能力造成重大损害。开发者使用这些包或库来构建项目,包括去中心化应用程序(dApps),而无需从头开始编写所有代码。
从访问到利用
一旦攻击者访问了 NPMJS,他们就推送了 Ledger Connect Kit 的恶意版本。这意味着使用 Connect Kit 的任何项目都可能包含有害代码,能够将用户资金重定向到黑客的钱包中。
受影响的 Connect Kit 版本为 1.1.5、1.1.6 和 1.1.7,这些版本目前已从 Ledger 的 NPM 页面中移除。恶意文件存活了约五个小时,但 Ledger 认为资金被转移的时间不到两个小时。
事件后果和恢复
在此事件发生后,Ledger 推出了 Connect Kit 的新版本(1.1.8),并表示所有使用该版本的钱包将自动更新。然而,他们建议用户等待 24 小时后再尝试连接 dApp。
网络安全公司 Sonatype 的 Field CTO Ilkka Turunen 强调了潜在的损害规模,指出 GitHub 上依赖 connect-kit-loader 的存储库数量庞大。此事件突显了开发者在使用此类包时进行适当卫生的重要性。
此事件在行业内引起了相当大的焦虑。投资者和顾问 Aftab Hossain 在 X(前称 Twitter)上表达了他的担忧,他表示如果一个开发者点击了钓鱼链接,几乎每个重要应用的前端都可能受到严重威胁。
与此同时,稳定币发行商 Tether 冻结了与被攻击者使用的钱包相关的资金,该钱包从 DeFi 用户那里盗取了 48.4 万美元。这个钱包与一个名为 Angel Drainer 的钓鱼组织有关,并参与了其他几起 DeFi 黑客事件。
在我们航行于复杂的加密货币世界时,像cryptoview.io这样的工具可以帮助我们保持了解和安全。此事件是对加密货币领域潜在风险和警惕与安全的重要性的鲜明提醒。
