Ledger：现可安全使用新版Ledger Connect Kit，建议等待24小时并清除浏览器缓存

金色财经报道，Ledger在X平台发布漏洞最新更新，表示正版且经过验证的Ledger Connect Kit版本1.1.8现已传播并且可以安全使用。对于正在开发Ledger Connect Kit代码并与之交互的构建者：NPM 项目上的 connect-kit 开发团队现在是只读的，出于安全原因无法直接推送 NPM 包。 此外，恶意代码使用流氓 WalletConnect 项目将资金重新路由到黑客钱包。-Ledger 的技术和安全团队收到了警报，并在Ledger意识到后40分钟内部署了修复程序。该恶意文件的存活时间约为 5 小时，但资金被耗尽的时间窗口仅限于不到两个小时。 团队正在提出投诉，并与执法部门合作进行调查，以找到袭击者，并且正在研究该漏洞以避免进一步的攻击。

金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，1. Ledger模块ledgerhq/connect-kit被投毒问题基本得到了缓解，但被投毒代码可能还在浏览器缓存着，如果不是特别确定，一定清除下浏览器缓存（包括在用钱包 App 内置浏览器缓存）；2. 用户一定要再三确认钱包的每一笔待签名内容；3. Ledger钱包本身不受影响；4. 这次供应链攻击细节很耐人寻味，这样的猎手在这个黑暗森林里并不稀有；5.Tether 出手及时，冻结了钓鱼获利的 USDT，对比起来，USDC 一如既往的无视。

金色财经报道，Ledger在社交媒体上发文表示，已识别并删除了 Ledger Connect Kit 的恶意版本。现在正在推送正版版本来替换恶意文件。暂时不要与任何 dApp 交互。随着情况的发展，我们将随时向您通报情况，您的 Ledger 设备和 Ledger Live 没有受到损害。

金色财经报道，MetaMask在社交媒体上表示，已发现对Ledger Connect Kit的攻击，请停止使用dapp。用户在MetaMask Portfolio上执行任何交易之前，请确保已在MetaMask Extension中启用Blockaid功能，MetaMask Portfolio团队正在着手解决这个问题，并且已经准备好了一个补丁，将于今天发布。

金色财经报道，硬件钱包Ledger宣布Ledger Connect Web3浏览器将于2023年推出，新浏览器扩展程序将可以通过蓝牙连接到用户的Ledger设备。只要携带硬件钱包才能使用它。更重要的是，当浏览您最喜爱的Web3网站和应用程序时，Connect在后台运行。  此外，当用户想购买 NFT 时，连接窗口会弹出并显示要购买的东西。Ledger的API对产品进行检查。反过来，用户对他们购买的商品和价格有了更大的确定性。不仅如此，用户可以选择进行购买的设备和帐户，以及将其存储在哪个钱包中。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码，但可能有点问题，随后发布了 1.1.7 带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。