慢雾余弦：虽然Ledger npmjs被投毒版本已删除，但目前jsDelivr上还有带毒js文件

2023-12-15 10:30:13

金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，项目方目前需要注意： 1.Ledger被投毒的模块在npmjs平台上，前员工的npmjs账号被钓鱼劫持走后，攻击者就可以任意发布带毒的模块版本。 2.发布后的模块会自动更新到jsDelivr CDN下。 3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件，非常粗暴，没有文件哈希绑定，没有严格限制引入版本。 4.前员工居然还遗留这么重要的权限，内部安全管理机制得好好增强了，最坏原则，如果内部作恶，是否可以有效避免并及时发现。 5.需要注意下，虽然Ledger npmjs被投毒的版本已经删除，但目前在jsDelivr上还有带毒js文件。这些安全建议供其他项目方借鉴，别偷懒，每一次安全事件都是复盘自身的好机会。

211COIN发布此信息目的在于传播更多信息，与本网站立场无关，文章内容仅供参考，不代表任何确定性判断，且不构成投资建议，请谨慎对待，风险自担。

相关快讯

慢雾余弦：Ledger的一个模块被供应链劫持篡改，目前不确定多少DApp被影响

金色财经报道，慢雾创始人余弦在社交媒体上表示，Ledger的一个模块被供应链劫持篡改了，特别注意下这个风险，主要是不知道影响面多广，可能不少 DApp 都有依赖 Ledger 被投毒的库 ledgerhq/connect-kit。大家警惕下所有 DApp 相关操作，注意钱包待签名的请求信息是不是预期内的。

慢雾：Ledger Connect Kit事件始作俑者使用智能合约来管理恶意JS文件的访问域名

金色财经报道，慢雾安全团队在对 Ledger Connect Kit 供应链攻击事件进行了深入分析，发现这次攻击事件是由知名的 Angel Drainer 钓鱼团伙发起的，并且 Angel Drainer 钓鱼团伙使用智能合约来管理恶意 JS 文件的访问域名，为了尽可能避免 Web3 用户遭受到钓鱼攻击导致的资产损失，慢雾安全团队联合 Scam Sniffer 团队通过 Angel Drainer 钓鱼团伙的一系列特征识别了上千个钓鱼网站，并将这些钓鱼网站反馈到 eth-phishing-detect 希望通过社区的力量一同维护 Web3 行业的生态安全。

慢雾余弦：Ledger代码库攻击团伙在ledgerhq/connect-kit 1.1.5版本就已开始篡改

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。1.1.6 版本开始植入恶意代码，但可能有点问题，随后发布了 1.1.7 带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。

慢雾余弦：CVE编号有被NVD引用是很正常的事

12月10日消息，慢雾创始人余弦在社交媒体上表示，CVE 编号有被 NVD 引用是很正常的事，还不至于上升到向美国联邦政府寻求帮助，试图审查序号/铭文交易这种层面。金色财经此前报道，Bitcoin Core开发人员Luke Dashjr在社交媒体发文表示，铭文利用Bitcoin Core客户端的漏洞已被分配标识符CVE-2023-50428。

慢雾余弦：铭文问题被分配CVE编号意味着定性为漏洞

金色财经报道，慢雾创始人余弦在社交媒体上发文称，铭文这个问题被分配了个CVE编号，这是釜底抽薪了，态度鲜明地定性漏洞了：CVE 编号不是什么新鲜事，许多安全团队/个人都可以申请，CVE 编号在安全行业是最知名的漏洞证明之一。

慢雾余弦：Stake.com被盗或因私钥相关接口/服务被恶意利用

9月5日消息，慢雾创始人余弦在社交媒体上发文表示，Stake.com 不仅 ETH 热钱包被黑，BSC/Polygon 热钱包也一样，目前至少超过 4130 万美元被盗。被盗与私钥出问题有关，可能不一定是私钥被盗走，也可能是私钥有关的接口/服务被恶意利用。此前报道，加密博彩平台 Stake.com 昨晚疑似遭遇黑客攻击。链上侦探 ZachXBT 表示，Stake.com 在以太坊上被盗 1570 万的同时，也在 BSC 和 Polygon 网络被盗价值 2560 万美元的加密资产。今日早间，加密博彩平台 Stake.com 发布公告称，平台所有服务已恢复，所有货币的存提款都在即时处理。

Copyright © 2018-2022 211COIN版权所有.