近年来,随着加密货币和区块链技术的迅猛发展,硬件钱包作为保证数字资产安全的重要工具,逐渐被广大用户接受和使用。Ledger作为市场上领先的加密硬件钱包供应商,累计销售超过六百万台设备,并拥有150万活跃的软件用户。然而就在2023年12月中旬,这家知名企业遭遇了一起供应链攻击,导致部分用户的资金面临被盗风险。此次事件引发了行业内的高度关注,也为数字资产安全敲响了警钟。供应链攻击不同于传统的黑客入侵,它不直接针对最终用户的设备,而是通过破坏软件开发或发布的环节,悄无声息地植入恶意代码。这次针对Ledger的软件库 - - Ledger Connect Kit的攻击,正是利用了这种复杂的供应链攻击方法。
Ledger Connect Kit是一套被多个去中心化应用(dApps)和项目用于连接Ledger钱包服务的关键软件库。攻击者通过操纵该库的发布过程,推出了恶意版本,诱导用户在不知情的情况下连接其钱包并授权,最终授予攻击者转移资金的权限。事后调查显示,此次攻击源于对一名前Ledger员工账户的钓鱼攻击。攻击者通过窃取该员工的NPMJS账户访问权限,成功发布了包含恶意代码的Ledger Connect Kit版本。NPMJS作为全球最大的JavaScript包管理平台之一,是众多开发者发布和获取软件包的重要通道。攻击者利用这一渠道将恶意软件渗透到广泛的生态系统中。
恶意代码利用了一个名为WalletConnect的项目漏洞,将用户资金转向攻击者控制的钱包地址。幸运的是,Ledger在发现异常后,仅用了约四十分钟便部署了修复补丁,限制了黑客利用恶意代码盗取资金的时间窗为两小时以内。与此同时,钱包连接项目WalletConnect也迅速做出反应,禁用了被袭击的恶意项目,阻止了进一步的资金损失。据Ledger发言人透露,公司正积极与可能受影响的用户取得联系,提供必要的援助,并全力追踪攻击者的账户。虽然具体受害人数尚未完全统计,但知名独立加密研究者ZachXBT证实,黑客通过此次攻击至少窃取了价值60万美元的加密资产。需要强调的是,Ledger的硬件设备本身未受此次攻击影响,漏洞主要集中在软件库和相关连接服务层面。
此次事件暴露了加密领域对供应链安全防护的短板。由于Ledger Connect Kit是一个广泛依赖的开源软件库,一旦被篡改,便可能影响到众多依赖其连接功能的去中心化应用,进而影响下游大量用户。更重要的是,此次攻击凸显了企业内部账户安全管理的缺陷。钓鱼攻击和账户权限滥用成为供应链攻击的高风险入口,增强内部安全培训和多因素身份验证已成为推荐重点。加密行业专家均建议用户在使用任何dApp或软件连接钱包时应保持高度警惕。过度依赖JavaScript等容易被篡改的环境也引发业界对更安全编程语言和架构的反思。
用户在安全防护层面,可以采取离线签名、硬件钱包结合软件钱包双重验证、拒绝不明来源的软件升级和连接请求等措施。此次Ledger攻击事件也推动了行业各方对供应链安全的深入探讨。如何在开放、去中心化的环境中保障软件开发和发布环境的可信性,成为未来技术发展的核心话题。业界呼吁,除了企业自身加强安全监控,开源社区和监管机构亦应共同制定严格审计和安全验证标准,减少类似风险。总之,Ledger被攻击事件再次提醒数字货币用户,安全不仅仅是硬件设备本身,更关乎整个生态系统的安全管理。从用户层面,选择信誉良好的平台和服务,保持安全意识,合理配置资产安全措施;从企业层面,则需完善供应链安全防护机制,快速响应安全事件,最大程度减少损失。
只有多方共同努力,数字资产才能在充满机遇的时代中走得更加安全与长远。 。
