近日，知名冷钱包制造商 Ledger 的代码库 Ledger Connect Kit 遭到骇客攻击，遭窃取约 484 万美元的资金。面对这一安全危机，稳定币发行商 Tether 迅速回应，冻结了攻击者的地址。前情提要：Ledger执行长回应被骇：全力追回资金！安全版本已上线、建议等待24小时再操作背景补充：出大事》暂时勿与任何Dapp互动！DeFi爆发大规模安全漏洞、Ledger钱包遭骇酿祸

昨15日晚间，一句暂时不要与任何 DApp 互动的警告讯息在社群媒体上炸开。因为冷钱包Ledger 使用的代码库 Ledger Connect Kit 遭骇客注入恶意程式码，使攻击者能够窃取互动钱包中的资金。

受影响的 DApp 项目广泛，包括 Zapper、SushiSwap、Phantom 和 Balancer 等多个以太坊基础应用程式均受波及。所幸 SushiSwap 的技术长 Matthew Lilley 及时发现并迅速回应，因此造成的损失相对较小。

根据链上数据监测团队 Lookonchain 贴文指出，截止昨晚 11 点，骇客共窃取约 484 万美元的资金。

快速了解：Ledger遭骇引爆DeFi灾难：牵连项目、损失金额、骇客是谁一文整理

Tether 冻结攻击者的地址

面对这一安全漏洞，稳定币发行商 Tether 快速作出回应表示，已冻结了攻击者的地址。

Tether 的这一举措能防止攻击者将钱包中的 USDT 资产转出，目前该地址还持有约 27 万美元的 USDT；值得一提的是，该钱包似乎还曾与 Angel Drainer 网路钓鱼组织有交易往来，向其发送了 4334 枚 ETH。

Ledger 的修复措施

虽然在多方协作下该事件很快获得控制，Ledger 官方也迅速对这一漏洞进行了修复，并已更新 Ledger Connect Kit 至最新的 118 版本。不过为了进一步确保安全，仍建议使用者等待 24 小时之后再开始操作，并建议在此期间清除浏览器快取。

Ledger 透露，这次安全漏洞是由于一名前员工遭到钓鱼攻击所致，攻击者因此得以访问该员工的帐户并注入了恶意代码。Ledger 进一步说明：

Ledger 表示，在发现此事件后，他们在短短 40 分钟内迅速部署了修复措施。公司还指出，这个恶意档案大约存在了 5 小时，但实际上资金被盗取的时间窗口不超过 2 小时。

不过这次攻击对 DeFi 生态系统造成一次独特的供应链攻击，使得多项协议变得脆弱，值得安全团队与各项目方好好省思，未来该如何在错综复杂的区块链网路中确保安全。