歡迎來到 CoolWallet 新官網!

上週看到 分類帳, 全球最大的加密硬體錢包製造商成為目標的受害者 高調的供應鏈攻擊 從用戶錢包中竊取了數十萬美元的加密貨幣。

然而,專家認為,如果駭客攻擊長時間未被發現,可能會造成真正的災難性後果。 可能會被虹吸 損失了數千萬用戶資金並污染了整個網絡 DeFi生態系統 在此過程中。 Ledger 作為冷錢包的受歡迎程度及其 自我報告的 150 萬客戶 這使得它很容易成為駭客的目標,它和 Trezor 等其他領先的 USB 格式冷錢包經常出現在 壞演員的十字準線 為此原因。令人擔憂的是,這項漏洞首先是由第三方公司發現的,而不是 Ledger,這表明 Ledger 的安全監控可能存在嚴重失誤。

這家法國錢包製造商最近的混亂是在之前的失誤之後發生的,例如 2021 年資料庫網路釣魚駭客攻擊  2023年的種子回收服務 爭議。這次涉及 Ledger 廣泛使用的 Connect Kit JavaScript 庫的洩露,導致透過 Connect Kit 連接到服務的錢包中估計價值 70 萬美元的數位資產被盜。

駭客的偷偷摸摸的攻擊向量和摧毀整個 DeFi 行業的能力為所有加密用戶和服務提供者提供了幾個嚴重的安全考慮,我們將在本文後面討論。

帳本供應鏈攻擊是如何發生的

Ledger Connect Kit 駭客攻擊是經典「供應鏈攻擊」的新迭代,該攻擊因 SolarWinds 駭客。此類攻擊會損害幕後基礎設施軟體,並可能對加密用戶造成重大損害。

  • 攻擊者透過網路釣魚攻擊了 Ledger 前員工的帳戶,以獲取對 Ledger Connect Kit 軟體的存取權。
  • 然後,他們將惡意「Drainer」程式碼注入到 Ledger 的軟體元件中,該元件旨在從透過 Connect Kit 連接的錢包中竊取數位資產。
  • 在與受感染軟體互動的 dapp 進行交易時,該代碼將用戶資金重定向到駭客自己的錢包。
  • 惡意程式碼從透過 Connect Kit 連接到服務的錢包中竊取了加密貨幣,並持續了幾個小時,然後才進行修補。
  • 在問題修復之前,整個 web3 生態系統都面臨風險。

CoolWallet 等其他錢包製造商很快就這場危機向 DeFi 用戶發出了警報,其技術總監 Wesley Wen 警告用戶因軟體而受到感染,不要連接任何 dApp。

對去中心化金融(DeFi)協議的影響

該漏洞的影響超出了 Ledger 範圍,影響了去中心化金融 (DeFi) 領域的其他協議,例如 SushiSwap、Kyber、Revoke.cash 和 Zapper。 Kyber 和 Revoke.cash 立即採取行動,停用各自的前端以防止進一步的利用。

Sushi Swap 首席技術長 Matthew Lilley 警告 Dapp 用戶在問題解決之前不要與任何應用程式互動。

帳本駭客:產業和用戶需要注意的加密安全教訓

作為 David Schwed 在《財星》雜誌上解釋說,這起事件特別令人擔憂的是,對加密貨幣用戶的損害並沒有想像中那麼災難性,但對 Ledger 的影響卻是嚴重的。這家以強大安全性而聞名的公司面臨著一場完全可以避免的危機。為了防止此類內部流程故障,加密專案需要圍繞更強大的安全審查和最佳實踐重新調整其安全標準。

正確的程式碼管理

問題的根源在於流程故障和安全實踐中的差距,不幸的是,這些問題在加密貨幣和區塊鏈世界中很常見。該領域的許多專案的安全措施要么不成熟,要么資金不足,過於狹隘地專注於發現程式碼漏洞。然而,Ledger 駭客攻擊並不是程式碼本身的缺陷;而是程式碼本身的缺陷。這是關於如何管理和更新程式碼的。

員工存取控制

最初的洩漏源於針對 Ledger 前員工帳戶的網路釣魚攻擊。這引發了關於是否需要更好的反網路釣魚訓練和實踐的問題。更令人擔憂的是,這位前員工仍然可以在第三方服務上存取 Ledger 的程式碼。這是門禁控制方面的明顯疏忽。

但最嚴重的失敗是在沒有任何人工審核的情況下從即時資料庫自動更新 Connect Kit 程式碼。這種做法造成了一個嚴重的漏洞,因為沒有檢查來確保更改是合法的而不是惡意的。

整體審核

這一事件凸顯了僅關注代碼而不是涵蓋所有基礎的安全審計的局限性。需要一種更全面的方法來評估整個開發生命週期。這包括內部安全措施、網路釣魚預防和變更管理流程。

每週交付

訂閱我們的頂級加密新聞每週通訊

使用者責任

與任何行業一樣,客戶最終可以透過對購買的產品進行投票來確定他們願意接受的品質水準。加密貨幣用戶可以透過選擇具有良好記錄和行業最佳標準的信譽良好的錢包提供商來讓錢包製造商保持警惕。這包括實施強大的身份驗證方法、定期更新軟體和韌體以及遵循備份儲存和復原的最佳實踐。

結論

Ledger 駭客事件應該為整個加密產業敲響警鐘。它表明加密貨幣本質上並不是不安全的,但迫切需要更嚴格和標準化的安全實踐。

透過吸取這一事件的教訓並實施最佳實踐,加密錢包用戶可以更好地保護其數位資產,並避免將來出現類似的安全漏洞。

隨著行業的成熟,投資強大安全措施的公司將因其可信度和壽命而脫穎而出。那些不願冒因可避免的失敗而落後的風險的人。

想要分散風險的加密貨幣用戶應該看看 CoolWallet Pro,這是一款經過考驗的開創性硬體錢包,擁有良好的記錄,自 Ledger 以來就一直存在(2014 年)。其製造商 CoolBitX 明年將慶祝完美的 10 週年紀念日。

憑藉 EAL6+ 安全元件、生物辨識驗證、加密軍用級藍牙以及防篡改和防水的超薄設計,這款精良且方便的硬體錢包可讓您隨時隨地絕對自由地存取 Web3 和您的數位資產。

了解有關 CoolWallet Pro(針對 DeFi 高級用戶)、CoolWallet S(針對 HODLers)及其 CoolWallet 應用程式的更多信息,該應用程式具有 SafeScan是一個整合的即時 Web3 交易和 dapp 掃描儀,用於檢測和阻止網路釣魚威脅,連結如下:

酷錢包專業版: https://www.coolwallet.io/product/coolwallet-pro/
酷錢包S: https://www.coolwallet.io/product/coolwallet/
酷錢包應用程式: https://www.coolwallet.io/coolwallet-app/

CoolWallet Pro - 支援的加密資產

最新文章

View all

TutorialsWeb3
Guide for Adding a Custom Network
  • by CoolWalletTeam

Guide for Adding a Custom Network

Learn how to add a Custom Networks, or EVM-compatible blockchain, to your crypto wallet, expanding access beyond official options now!

Read more

InsightsWeb3
Introduction to Custom EVM Network
  • by CoolWalletTeam

Introduction to Custom EVM Network

Custom Networks let users add new blockchain networks to their crypto wallets, expanding access beyond official options. Learn more now!

Read more

TutorialsWeb3
Chiikawa: The Cutest Meme Taking Over Solana
  • by CoolWalletTeam

Chiikawa: The Cutest Meme Taking Over Solana

Cheeck out the hottest meme token $CHIIKAWA, a popular anime-inspired meme token on Solana now. Learn how to add it to your CoolWallet!

Read more

© 2024 CoolWallet. 由 Shopify 技術支援