全网警报的红色Web3 bug，让玩家们放了个假

昨夜，黑客给玩 Web3 的用户放了一个小假。

12 月 14 日 20 点，Sushi 首席技术官 @MatthewLilley 在社交媒体上发布警告称：请用户切勿与任何 dApp 交互，直至另行通知。一个常用的 Web3 连接器似乎已被破坏，允许注入影响众多 dApp 的恶意代码。

不仅是 Zapper 和 Sushi 的前端受到损害，据统计有一百多个 dapp 受到影响。

这与硬件钱包提供商 Ledger 的软件库有关，原因是 LedgerHQ/connect-kit 从 CDN 加载 JavaScript，他们的 CDN 帐户已被泄露，正在将恶意 JavaScript 注入多个 dApp。有不少 DApp 都有依赖 Ledger 被投毒的代码库，影响面较广。

在各方提醒下，昨晚 Web3 的用户们给自己放了一个小假，暂时尽量不进行链上操作，以免与被投毒的 DApp 进行了交互。

前员工账户泄露，攻击团队早已潜伏

慢雾创始人余弦在社交媒体上发文表示，从代码编辑页面来看，本次 Ledger 代码库攻击团伙在 ledgerhq/connect-kit 1.1.5 版本就开始篡改了，但没有植入恶意代码，仅写入一些嘲讽信息。

1.1.6 版本开始植入恶意代码，但可能有点问题，随后发布了 1.1.7 带恶意代码的版本。最终，黑客留言感谢了前段时间宣布停止服务的网络钓鱼工具包 Inferno Drainer。

目前，Ledger、Walletconnect 和合作伙伴已经报告了黑客的钱包。Tether 冻结了攻击者的 USDT。

Ledger 正在提出投诉并与执法部门合作追查攻击者，同时还在分析漏洞利用，以防止未来的攻击。据信，袭击者的地址 0x658729879fca881d9526480b82ae00efc54b5c2d，正在接受审查。

Scope Protocol 联创 0xSentry 在社交媒体上发文表示，攻击者留下的数字痕迹中涉及 @JunichiSugiura（Jun，Ledger 前员工）的 Gmail 账户，后者的帐户可能已被泄露。

有开发者表示，一种可能的情况是，Jun 的 github 帐户已经泄露，并且 ledger 在他离开后忘记删除他的访问权限了。

在这个所谓的「黑暗森林」中，此类猎手并不罕见，在未来也有可能发生，因此用户需要注意防范。

虽然 Ledger 模块 ledgerhq/connect-kit 的安全问题已得到缓解，但可能存在被投毒代码残留在浏览器缓存中。这也适用于在钱包应用程序内置浏览器中的缓存。因此建议所有用户清除缓存，等待24小时后再进行钱包活动。

另外需注意，增加对待签名交易的警觉性。在区块链世界中，不可预知的安全威胁时有发生，因此仔细检查交易内容至关重要。