Ledger 钱包工具包安全事件黑客分析

olympixai
发布于 2023-12-27 20:42
阅读 13

Ledger Connect Kit 遭受供应链攻击，攻击者通过入侵前员工的 NPMJS 账户，发布恶意版本的 Ledger Connect Kit，诱导用户将资金转移到攻击者的钱包。该漏洞持续约 5 小时，实际资金损失约 60 万美元。Ledger 采取了修复措施，并与相关方合作阻止攻击，同时建议用户采取安全措施。

![](https://img.learnblockchain.cn/2025/06/26/40379311_image.jpg)

## Ledger Wallet Kit 黑客时间线

### 网络钓鱼攻击

- 一位前 Ledger 员工成为网络钓鱼攻击的受害者，授予攻击者访问其 NPMJS 帐户的权限。

### 恶意 Kit 上传

- 攻击者使用被盗的 NPMJS 凭据发布了 Ledger Connect Kit 的受损版本（版本 1.1.5、1.1.6 和 1.1.7）。
- 这个恶意 kit 包含代码，通过一个流氓 WalletConnect 项目将资金重定向到攻击者的钱包，WalletConnect 是一家提供 Web3 SDK 的软件公司，该 SDK 促进加密货币钱包与 web 上的去中心化应用程序 (DApp) 的连接。

### 漏洞窗口

- 受损的 kit 保持活动状态约 5 个小时，为潜在的利用创造了一个窗口。
- Ledger 估计实际的资金耗尽活动发生在不到 2 小时的一个较小窗口内。

### 警报和响应

- Ledger 的安全团队收到有关该漏洞的警报。
- 在 40 分钟内部署了一个修复程序，禁用了恶意代码并阻止了进一步的利用。

### 协作与恢复

- Ledger 与 WalletConnect 合作，禁用了与该漏洞相关的流氓项目。
- 传播了真正的 Ledger Connect Kit 1.1.8 版本，恢复了安全功能。
- Ledger 与执法部门协调，调查该事件并追踪攻击者。
- Tether 冻结了攻击者的 USDT 资金，可能会减轻经济损失。

### 用户沟通和教育

- Ledger 发布了公开更新，通知用户有关该漏洞的信息，并建议使用版本 1.1.8。

## 摘要

Ledger 以制造自托管加密货币硬件钱包而闻名，它提供了 [Connect Kit](https://www.npmjs.com/package/@ledgerhq/connect-kit) JavaScript 库，该库有助于将 Ledger 设备连接到第三方 DApp。 Lido、Metamask、Coinbase 和 Sushi 等去中心化金融协议利用此软件在 DApp 和 Ledger 产品之间建立连接。周四，一名前 Ledger 员工成为网络钓鱼攻击的受害者，黑客获得了对其 NPMJS 帐户的访问权限，攻击者利用该帐户发布了 Ledger Connect Kit 的恶意版本。

这种恶意的升级允许黑客操控用户可见的功能，导致他们无意中将资金发送给攻击者，而不是他们预期的钱包。

正如 SushiSwap 的 CTO [提到的](https://twitter.com/MatthewLilley/status/1735285684070461534)，Ledger 犯了一系列网络安全错误。

## 漏洞

Sushi 的首席技术官 [发出了警报](https://twitter.com/MatthewLilley/status/1735275960662921638?s=20)，指出与 Ledger 的 Connect Kit 相关的普遍存在的漏洞，因为该去中心化金融 (DeFi) 协议成为了前端漏洞的受害者。

Ledger 团队已正式 [承认](https://twitter.com/Ledger/status/1735291427100455293) Ledger Connect Kit Library 的恶意升级，并通过 [替换](https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts) 受损文件，并使用 JavaScript 库的真实版本来采取纠正措施。

## 漏洞利用

黑客利用流氓 WalletConnect 项目，将资金重定向到一个受控钱包。在意识到后的 40 分钟内，Ledger 部署了一个修复程序，尽管恶意文件已上线约 5 个小时。然而，实际的资金耗尽期被限制在不到两个小时内，这导致受影响的用户损失了约 [$600,000](https://twitter.com/zachxbt/status/1735292040986886648)。

![](https://img.learnblockchain.cn/2025/06/26/78990286_image.jpg)

**查看其中一个** [**黑客钱包**](https://etherscan.io/address/0x658729879fca881d9526480b82ae00efc54b5c2d#tokentxns) **使用 Etherscan**

攻击者直接用 Drainer 类替换了用于管理浏览器窗口的常规逻辑，引入了一个欺诈性的 Drainer 弹出窗口。然后，这个欺骗性的弹出窗口处理了不同资产的转移逻辑。此外，攻击者还使用内容分发网络 (CDN) 对加密货币用户发起网络钓鱼攻击。

在此安全漏洞中，恶意行为者可以运行未经授权的代码，该代码具有与目标应用程序同等的权限。这意味着他们可以迅速耗尽用户的资金，而无需任何交互。此外，他们可能会部署各种网络钓鱼策略，散布欺骗性链接来欺骗用户，或利用用户的焦虑说服他们将资产转移到欺诈地址。这会导致因下载假冒钱包而造成的损失。

从 Twitter 用户 0xSentry 的 [推文](https://twitter.com/0xSentry/status/1735308978656076141) 中推断，有人怀疑攻击者留下了一条数字痕迹，牵涉到 Ledger 前员工 Jun 的 Gmail 帐户。Ledger 可能忽略了撤销此员工的访问权限。

![](https://img.learnblockchain.cn/2025/06/26/65881763_image.jpg)

图片来源：0xSentry

## 后果

Ledger 与 WalletConnect 合作，导致迅速禁用了流氓项目并停止了攻击。

Tether 的 CTO [宣布](https://twitter.com/paoloardoino/status/1735315976827101274)，USDT 稳定币背后的组织已将持有价值 400,000 美元加密资产（包括 40,000 美元的被盗 USDT）的漏洞利用者的地址列入黑名单。在 Tether 将 Ledger 漏洞利用者列入黑名单后，攻击者继续将各种 ERC-20 代币（包括 USDC 和 stETH）转移到外部拥有的帐户 (EOA)。大约 60,000 USDC 和大约 34 stETH 被兑换为 ETH，导致 EOA 的总持有量约为 158,000 美元。

## 用户安全建议

- 谨慎行事，避免盲目签署未知交易。验证钱包应用程序正在签名的 payload，以确保它遵循公认的模式。
- 定期清除浏览器缓存，以防止从缓存中获取受损的库。

## Ledger 安全建议

### 强化网络钓鱼培训

为所有员工实施强大的网络钓鱼意识培训，强调识别和避免可疑电子邮件、链接和附件的最佳实践。

### 多因素身份验证 (MFA)

对所有员工帐户强制执行 MFA，尤其是那些可以访问 NPMJS 帐户等关键资源的帐户。

### 最小权限访问控制

实施严格的访问控制策略，确保员工只能访问其任务所需的资源。

### 代码审查和审计

为所有软件更新（尤其是依赖项和外部库）建立严格的代码审查和审计流程。

## 软件安全

### 代码签名

为 Ledger Connect Kit 更新实施代码签名实践，以确保真实性并防止篡改。

### 依赖管理

实施安全的依赖管理实践，以识别和缓解外部库中的漏洞。

### 持续监控

采用自动安全监控工具来检测软件和基础设施中的可疑活动和漏洞。

## 关于 Olympix

[Olympix](https://olympix.ai/) 是一款开创性的 DevSecOps 工具，它通过从第一天起主动保护代码，将安全性掌握在开发人员手中。

立即加入我们的 [beta program](https://www.olympix.ai/join-beta)，以加强你的智能合约，并在不断发展的 Web3 安全领域中主动保护它们免受网络威胁。

## 通过以下方式与我们联系

[Twitter](https://twitter.com/Olympix_ai) \| [LinkedIn](https://www.linkedin.com/company/olympix/) \| [Discord](https://discord.gg/cWVuPEcuCn) \| [Medium](https://medium.com/@olympixai) \| [Instagram](https://www.instagram.com/olympixai/) \| [Telegram](https://t.me/Olympixai) \| [Substack](https://olympix.substack.com/)

>- 原文链接： [olympixai.medium.com/led...](https://olympixai.medium.com/ledger-wallet-kit-security-incident-hack-analysis-4fc528b99016)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Ledger Wallet Kit 黑客时间线

网络钓鱼攻击

一位前 Ledger 员工成为网络钓鱼攻击的受害者，授予攻击者访问其 NPMJS 帐户的权限。

恶意 Kit 上传

攻击者使用被盗的 NPMJS 凭据发布了 Ledger Connect Kit 的受损版本（版本 1.1.5、1.1.6 和 1.1.7）。
这个恶意 kit 包含代码，通过一个流氓 WalletConnect 项目将资金重定向到攻击者的钱包，WalletConnect 是一家提供 Web3 SDK 的软件公司，该 SDK 促进加密货币钱包与 web 上的去中心化应用程序 (DApp) 的连接。

漏洞窗口

受损的 kit 保持活动状态约 5 个小时，为潜在的利用创造了一个窗口。
Ledger 估计实际的资金耗尽活动发生在不到 2 小时的一个较小窗口内。

警报和响应

Ledger 的安全团队收到有关该漏洞的警报。
在 40 分钟内部署了一个修复程序，禁用了恶意代码并阻止了进一步的利用。

协作与恢复

Ledger 与 WalletConnect 合作，禁用了与该漏洞相关的流氓项目。
传播了真正的 Ledger Connect Kit 1.1.8 版本，恢复了安全功能。
Ledger 与执法部门协调，调查该事件并追踪攻击者。
Tether 冻结了攻击者的 USDT 资金，可能会减轻经济损失。

用户沟通和教育

Ledger 发布了公开更新，通知用户有关该漏洞的信息，并建议使用版本 1.1.8。

摘要

Ledger 以制造自托管加密货币硬件钱包而闻名，它提供了 Connect Kit JavaScript 库，该库有助于将 Ledger 设备连接到第三方 DApp。 Lido、Metamask、Coinbase 和 Sushi 等去中心化金融协议利用此软件在 DApp 和 Ledger 产品之间建立连接。周四，一名前 Ledger 员工成为网络钓鱼攻击的受害者，黑客获得了对其 NPMJS 帐户的访问权限，攻击者利用该帐户发布了 Ledger Connect Kit 的恶意版本。

这种恶意的升级允许黑客操控用户可见的功能，导致他们无意中将资金发送给攻击者，而不是他们预期的钱包。

正如 SushiSwap 的 CTO 提到的，Ledger 犯了一系列网络安全错误。

漏洞

Sushi 的首席技术官发出了警报，指出与 Ledger 的 Connect Kit 相关的普遍存在的漏洞，因为该去中心化金融 (DeFi) 协议成为了前端漏洞的受害者。

Ledger 团队已正式承认 Ledger Connect Kit Library 的恶意升级，并通过替换受损文件，并使用 JavaScript 库的真实版本来采取纠正措施。

漏洞利用

黑客利用流氓 WalletConnect 项目，将资金重定向到一个受控钱包。在意识到后的 40 分钟内，Ledger 部署了一个修复程序，尽管恶意文件已上线约 5 个小时。然而，实际的资金耗尽期被限制在不到两个小时内，这导致受影响的用户损失了约 $600,000。

查看其中一个 黑客钱包 使用 Etherscan

从 Twitter 用户 0xSentry 的推文中推断，有人怀疑攻击者留下了一条数字痕迹，牵涉到 Ledger 前员工 Jun 的 Gmail 帐户。Ledger 可能忽略了撤销此员工的访问权限。

图片来源：0xSentry

后果

Ledger 与 WalletConnect 合作，导致迅速禁用了流氓项目并停止了攻击。

Tether 的 CTO 宣布，USDT 稳定币背后的组织已将持有价值 400,000 美元加密资产（包括 40,000 美元的被盗 USDT）的漏洞利用者的地址列入黑名单。在 Tether 将 Ledger 漏洞利用者列入黑名单后，攻击者继续将各种 ERC-20 代币（包括 USDC 和 stETH）转移到外部拥有的帐户 (EOA)。大约 60,000 USDC 和大约 34 stETH 被兑换为 ETH，导致 EOA 的总持有量约为 158,000 美元。

用户安全建议

谨慎行事，避免盲目签署未知交易。验证钱包应用程序正在签名的 payload，以确保它遵循公认的模式。
定期清除浏览器缓存，以防止从缓存中获取受损的库。

Ledger 安全建议

强化网络钓鱼培训

为所有员工实施强大的网络钓鱼意识培训，强调识别和避免可疑电子邮件、链接和附件的最佳实践。

多因素身份验证 (MFA)

对所有员工帐户强制执行 MFA，尤其是那些可以访问 NPMJS 帐户等关键资源的帐户。

最小权限访问控制

实施严格的访问控制策略，确保员工只能访问其任务所需的资源。

代码审查和审计

为所有软件更新（尤其是依赖项和外部库）建立严格的代码审查和审计流程。

软件安全

代码签名