昨夜，駭客給玩 Web3 的用戶放了一個小假。

12 月 14 日 20 點，Sushi 首席技術官 @MatthewLilley 在社交媒體上發布警告稱：請用戶切勿與任何 dApp 交互，直至另行通知。一個常用的 Web3 連接器似乎已被破壞，允許注入影響眾多 dApp 的惡意代碼。

不僅是 Zapper 和 Sushi 的前端受到損害，據統計有一百多個 dapp 受到影響。

這與硬體錢包提供商 Ledger 的軟體庫有關，原因是 LedgerHQ/connect-kit 從 CDN 加載 JavaScript，他們的 CDN 帳戶已被泄露，正在將惡意 JavaScript 注入多個 dApp。有不少 DApp 都有依賴 Ledger 被投毒的代碼庫，影響面較廣。

在各方提醒下，昨晚 Web3 的用戶們給自己放了一個小假，暫時儘量不進行鏈上操作，以免與被投毒的 DApp 進行了交互。

前員工帳戶泄露，攻擊團隊早已潛伏

慢霧創始人餘弦在社交媒體上發文表示，從代碼編輯頁面來看，本次 Ledger 代碼庫攻擊團伙在 ledgerhq/connect-kit 1.1.5 版本就開始篡改了，但沒有植入惡意代碼，僅寫入一些嘲諷資訊。

1.1.6 版本開始植入惡意代碼，但可能有點問題，隨後發布了 1.1.7 帶惡意代碼的版本。最終，駭客留言感謝了前段時間宣布停止服務的網路釣魚工具包 Inferno Drainer。

目前，Ledger、Walletconnect 和合作夥伴已經報告了駭客的錢包。Tether 凍結了攻擊者的 USDT。

Ledger 正在提出投訴並與執法部門合作追查攻擊者，同時還在分析漏洞利用，以防止未來的攻擊。據信，襲擊者的地址 0x658729879fca881d9526480b82ae00efc54b5c2d，正在接受審查。

Scope Protocol 聯創 0xSentry 在社交媒體上發文表示，攻擊者留下的數字痕跡中涉及 @JunichiSugiura（Jun，Ledger 前員工）的 Gmail 帳戶，後者的帳戶可能已被泄露。

有開發者表示，一種可能的情況是，Jun 的 github 帳戶已經泄露，並且 ledger 在他離開後忘記刪除他的訪問權限了。

在這個所謂的「黑暗森林」中，此類獵手並不罕見，在未來也有可能發生，因此用戶需要注意防範。

雖然 Ledger 模塊 ledgerhq/connect-kit 的安全問題已得到緩解，但可能存在被投毒代碼殘留在瀏覽器緩存中。這也適用於在錢包應用程序內置瀏覽器中的緩存。因此建議所有用戶清除緩存，等待24小時後再進行錢包活動。

另外需注意，增加對待簽名交易的警覺性。在區塊鏈世界中，不可預知的安全威脅時有發生，因此仔細檢查交易內容至關重要。

原文連結