Ledger 軟體遭投毒，引發用戶資產危機！

正逢歡樂的台北區塊鏈週，但 15 日晚間，卻出現了嚴重的 Web3 資安漏洞，許多 KOL、項目都紛紛在 X 上呼籲社群：「立刻暫停與任何 DAPP（去中心化應用程式）交互」以防資產被盜。

據區塊鏈資安公司 Blockaid 資料，這起資安事件與知名硬體錢包 Ledger 有關， 原因是 Ledger 的代碼庫「ConnectKit」被駭客使用「供應鏈攻擊」 ，簡單來說是攻擊者用惡意代碼替換了「ConnectKit」代碼庫的部分代碼以盜取資產。

不過，影響的範圍並非只是 Ledger 用戶，而是所有使用 EVM（以太坊虛擬機）的錢包用戶都可能會有安全問題。

原因是採用 Ledger 的「ConnectKit」1.1.4 版本及以上的去中心化應用程式，都可能有危險，但尚無法確定有哪些 DApp 使用該代碼庫。

目前最安全的方式，就是停止與 DApp 交互，直到 Ledger 以及 DApp 都修復完成。

Ledger 已修正錯誤代碼！開發者警告：項目方仍需更新

事發之後，Ledger 迅速修復並發表聲明：「我們已經移除 Ledger Connect Kit 的一個惡意版本，現在正推送新版本來替換。」

但以太坊核心開發者哈德森詹姆森（Hudson Jameson）進一步解釋，除非了解去中心化應用程式背後使用的代碼庫，否則目前使用這些應用程式仍存有風險。 他警告，即便 Ledger 已修正錯誤代碼，相關項目在安全使用這些應用程式之前，仍需進行更新。

去中心化交易所 SushiSwap 技術長馬修·利利（Matthew Lilley）嚴厲指責 Ledger 犯下了一連串糟糕的失誤，他解釋：「一個被許多 DApp 使用的 Web3 軟體庫已經被竄改，導致惡意代碼影響了許多去中心化應用程式。」

近幾個月來，Ledger 的資安問題飽受批評。首先，Ledger 提供基於身份證明的「Recover」服務引起了加密用戶的不滿。原因是，這項服務將用戶的註記詞，分割並存儲於三個不同的保管者，並且要求用戶提供護照或國家身份證作為身份證明。

不滿的加密社群將該服務稱為「後門」，後來 Ledger 的聯合創辦人 Éric Larchevêque 稱該服務的推出為「完全的公關失敗，但強調絕對不是技術上的失敗。」

今年 11 月份，微軟商店上一個假冒 Ledger 應用程式讓的用戶損失了近 100 萬美元。在 2020 年，Ledger 數據庫被駭客入侵，超過超過一百萬用戶的電子郵件遭到泄露。

參考資料：Decrypt、Theblock