Web3安全:Ledgerhq/connect-kit供应链攻击预警

影响版本

ledgerhq/connect-kit 1.1.5

ledgerhq/connect-kit 1.1.6

ledgerhq/connect-kit 1.1.7

事件分析

Numen安全团队发现Ledger的ledgerhq/connect-kit模块被植入恶意钓鱼代码,大量的 dapp集成了该功能,受到影响的 dApp 列表没有明确的统计,范围极广。

https://github.com/LedgerHQ/connect-kit/commit/a4ba6946d8ab1906b040daf259c49dcd1dfdeeba

Web3安全:Ledgerhq/connect-kit供应链攻击预警

被投毒的代码 https://www.npmjs.com/package/@ledgerhq/connect-kit/v/1.1.7?activeTab=code

Web3安全:Ledgerhq/connect-kit供应链攻击预警

Web3安全:Ledgerhq/connect-kit供应链攻击预警

Web3安全:Ledgerhq/connect-kit供应链攻击预警

Revoke.cash Dapp也集成了LedgerHQ connect-kit(一款管理钱包代币授权和签名的安全工具)

Web3安全:Ledgerhq/connect-kit供应链攻击预警

截至目前,LedgerHQ Connect Kit 事件相关黑客已获利。

黑客钱包地址,相关钱包已被标记:

https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d

Web3安全:Ledgerhq/connect-kit供应链攻击预警

https://etherscan.io/address/0x412f10AAd96fD78da6736387e2C84931Ac20313f

Web3安全:Ledgerhq/connect-kit供应链攻击预警

官方已经推送修复的版本 https://github.com/LedgerHQ/connect-kit/releases/tag/ck-v1.1.8,在此之前请暂时请勿使用钱包与任意dapp进行连接交互。

Web3安全:Ledgerhq/connect-kit供应链攻击预警

攻击者在推送代码时使用了该账户:@JunichiSugiura(Jun,Ledger 前员工)jun.sugiura.jp#gmail.com,可能@JunichiSugiura的账户已经被黑。

Web3安全:Ledgerhq/connect-kit供应链攻击预警

Web3安全:Ledgerhq/connect-kit供应链攻击预警

总结

此次事件,攻击者获取了Ledger前员工@JunichiSugiura的代码推送账户(不排除是本人所为),然后推送恶意钓鱼代码到ledgerhq/connect-kit库里,进行供应链攻击,在用户与dapp进行交互时,盗取用户的加密资产,ledger的影响力非常大,有依赖该模块的dapp应用的项目方请尽快升级。

Web3安全:Ledgerhq/connect-kit供应链攻击预警




原文始发于微信公众号(Numen Cyber Labs):Web3安全:Ledgerhq/connect-kit供应链攻击预警

版权声明:admin 发表于 2023年12月14日 下午11:55。
转载请注明:Web3安全:Ledgerhq/connect-kit供应链攻击预警 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...