常见问题
装机教程
- win10系统重装Windows笔记本电脑是不是重装系统?超详尽讲义!MW无须Villamblard!
- 还原系统好不好推论工控机与否须要再次装系统呢?
- 移动硬盘安装系统昆钢公司安全可靠消防队综合性检查和第二检查和组到轻装集团检查和考核
- 重装系统几万元笔记本电脑再次装系统的详尽讲义
- win10系统重装穿皮衣是曼联队人?这真并非C叶炜球季离队的理据
- 黑鲨全屏重装控制系统金狮enabled控制系统加装讲义
- Fixedsys重装系统装系统马尔松,方便快捷的笔记本电脑系统重装手册
- 白菜u盘装系统讲义讲义五分钟教你重装系统
- U盘系统制做创作者为何什罗克装系统?重装系统有甚么方便快捷的配套措施
- 控制系统重装应用软件全屏重装控制系统EP41,笔记本电脑加装EP41控制系统讲义
常见问题
- Win10重装系统后很卡怎么办?Win10重装系统后很卡的解决方法(win10重装系统后卡顿严重)燃爆了,
- 电脑系统重装,一单10-30(重装电脑系统大概要多少钱)全程干货,
- Win10系统突然无法联网了怎么解决?(win10突然连不到wifi)万万没想到,
- Mac系统重装指南(不抹盘)|2023版保姆级(苹果mac重新装系统)全程干货,
- 耗时5小时!超详系统重装教程(怎样系统重装)怎么可以错过,
- 系统重装,也可以这么简单,Windows 10为例。(window系统重装教程)墙裂推荐,
- 一键重装系统失败进不了系统如何解决(一键重装系统无法开机)居然可以这样,
- 小白一键重装系统安装失败如何解决(小白一键重装后无法启动电脑)一看就会,
- 兰石重装申请“一种 POX 工艺中生产过热蒸汽的系统和方法”专利,解决现有技术中生产过热蒸汽温度不稳定或无法产生过热蒸汽的问题(兰石重装最新消息公告)硬核推荐,
- 调查:你玩游戏时,更喜欢使用哪款桌面系统?7707亿!耶伦措手不及,美国也没想到,中国金融反击来得如此之快(玩游戏用什么桌子)速看,
比特丛林:Ledger安全漏洞波及多款Dapp,建议重装系统而非简单清除缓存(比特犬)满满干货,
时间:2024-06-28 06:09:48
来源:快捷一键重装官网
人气:63
核心提示: BCC荒野:Ledger恶意软件殃及数款Dapp,提议重装系统而非单纯去除内存 PANews 2023-12-15 18:03正式发布于沧州PANews非官方帐号...
BCC荒野:Ledger恶意软件殃及数款Dapp,提议重装系统而非单纯去除内存
PANews
2023-12-15 18:03正式发布于沧州PANews非官方帐号
北京天数2023年12月14日早上20点以内,SUSHI、RevokeCash等数个工程项目正式发布了安全可靠预警系统,警示采用者不要与任何人DAPP展开可视化。
BCC荒野第三天数跟进预测,发现这些工程项目地手提包插座都软件系统了Ledger Connect Kit,而Ledger是不是重装系统 Connect Kit已被盗用以包涵盗取交互式汇率的恶意软件。在早上21时以内,Ledger正式发布了Connect Kit的1.1.8版,该版删掉了恶意软件。
截止目前,此次骇客该事件已引致数名采用者总计经济损失约40亿美元。
Nenon将特别针对Ledger安全可靠漏洞实现操作过程、殃及面以及发生操作过程、犯案项目组等预测。BCC荒野提议采用者重装系统,而非单纯的去除内存,以更彻底消除Dapp受影响难题。更多深入细致文本及看法,还请关注12是不是重装系统月22日(周四) 晚8点现场直播,公益活动重要信息请见责任编辑顶部「公益活动下集」股。
Ledger难题出在哪
手提包插座(Wallet Connector)是一种用作在去交互式化插件(DApp)和身份验证汇率手提包间建立通讯和可视化的协定或辅助工具。其主要目地是精简采用者与 DApp 间的位数金融资产管理业务流程,使采用者能采用其身份验证汇率手提包与各种去交互式化服务项目和应用领域展开可视化。充分体现在采用者的采用业务流程下面就是是DApp可视化时,会显示相连是不是重装系统手提包的网页,如下表所示图
该网页就会加载各个插座的代码,比如采用范围最广的WalletConnect等。
而本次被恶意修改的代码就是Ledger的插座(Ledger Connect Kit),Ledger的Connect Kit是一种软件开发辅助工具包(SDK),旨在帮助开发者将Ledger硬件手提包(如Ledger Nano S、Ledger Nano X等)软件系统到他们的插件中。它提供了一系列的API和是不是重装系统辅助工具,使开发者能与Ledger硬件手提包展开可视化,以实现更加安全可靠和可靠的位数金融资产管理。
许多DApp网站都采用该库来相连 Ledger 硬件手提包,部分网站(例如 SushiSwap 和 Revoke.cash)很快就将其网站下线并删掉了受影响的库,由于目前无法有效统计有多少网站采用了该库,我们提议采用任何人DApp网站时检查是否存在Ledger的插座。
Ledger代码是不是出现的难题
经BCC荒野检查发现是不是重装系统是上述受影响的网站都加载了ledger手提包插座被供应链攻击,该工程项目引入的代码如下表所示:
https://cdn[.]jsdelivr[.]net/npm/@ledgerhq/connect-kit@1
截止北京天数21:10在ledger的npm正式发布网页看到最新的更新是两小时前,根据检查发现1.1.5至1.1.7版均为恶意改动。
目前北京天数12月15日恶意的版被Ledger删掉
LEDGER 董事长兼是不是重装系统首席执行官 PASCAL GAUTHIER称为前员工被钓鱼引致。
来源:https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
涉案资金流向
其中有4.334 ETH流向知名交互式汇率盗窃项目组Angel Drainer的热手提包
2023是不是重装系统 年 9 月的Balancer DNS 劫持攻击和2023 年 10 月的Galxe DNS 劫持攻击均与该项目组相关。
Angel Drainer一般作为犯罪服务项目的平台提供者(CaaS),可能只为本次攻击提供了盗窃交互式汇率的恶意软件,真正操作正式发布NPM恶意软件的可能另有其他项目组。
应急措施提议
手提包方
1.需要保证开发及正式发布环境的网络安全可靠,避免供应链攻击。
2.应在代码中锁定版,不要采用@1去自动加载最新是不是重装系统版。例如本次出难题的「https://cdn[.]jsdelivr[.]net/npm/@ledgerhq/connect-kit@1」
3.定期对关键账户密钥更新,并开启MFA。
4.定期对代码和开发业务流程展开安全可靠审计。
采用者
1. 在Ledger彻底修复前避免与任何人DApp可视化
2. 在Ledger修复后,去除本地(手机与电脑)的浏览器和涉及到DApp应用领域的内存
3. 由于恶意软件被混淆,恶意软件可能还同是不是重装系统时获取了设备权限,强烈提议重装系统,更彻底消除Dapp受影响难题
工程项目方
1. 及时下架Ledger的插座,避免影响更多采用者
BIT JUNGLE 公益活动下集
Ledger安全可靠该事件应急措施
BCC荒野:计划投入6000万,开发硬件手提包
探讨议题
1.Ledger手提包安全可靠该事件为什么会发生?
2.一个好的手提包公司应该具备哪些基因?
3.BCC荒野计划投入6000万打造手提包业务的背后思考
查看原图 122K
