慢雾余弦：Ledger的一个模块被供应链劫持篡改，目前不确定多少DApp被影响

金色财经报道，DeFi协议Trader Joe表示，我们已收到关于前端界面中可能存在漏洞的警报。我们的团队正在立即进行彻底调查。我们强烈建议所有用户不要在 Trader Joe DEX 上进行交易和执行任何交易。 慢雾创始人余弦在X平台发文称，Trader Joe前端被篡改（当前已经打不开），合约地址被替换为了钓鱼合约地址。

金色财经报道，慢雾创始人余弦在X平台（原推特）表示，Ordinals Wallet 被 SIM Swap 劫持走了账号，发了个钓鱼链接，钓鱼组织是 PinkDrainer。

金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，项目方目前需要注意： 1.Ledger被投毒的模块在npmjs平台上，前员工的npmjs账号被钓鱼劫持走后，攻击者就可以任意发布带毒的模块版本。 2.发布后的模块会自动更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件，非常粗暴，没有文件哈希绑定，没有严格限制引入版本。 4.前员工居然还遗留这么重要的权限，内部安全管理机制得好好增强了，最坏原则，如果内部作恶，是否可以有效避免并及时发现。 5.需要注意下，虽然Ledger npmjs被投毒的版本已经删除，但目前在jsDelivr上还有带毒js文件。 这些安全建议供其他项目方借鉴，别偷懒，每一次安全事件都是复盘自身的好机会。

12月10日消息，慢雾创始人余弦在社交媒体上表示，CVE 编号有被 NVD 引用是很正常的事，还不至于上升到向美国联邦政府寻求帮助，试图审查序号/铭文交易这种层面。 金色财经此前报道，Bitcoin Core开发人员Luke Dashjr在社交媒体发文表示，铭文利用Bitcoin Core客户端的漏洞已被分配标识符CVE-2023-50428。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码，但可能有点问题，随后发布了 1.1.7 带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。

金色财经报道，据SlowMist发文表示，TrustPad质押合约遭受攻击事件更新：根据分析，由于获取了错误的LockStartTime，锁定时间被篡改。 早些时间报道，跨链融资平台TrustPad在社交平台上表示，一个质押合约遭受攻击。目前正在全力进行调查。