SlowMist：Ledger Connect Kit被黑事件分析

　　据SlowMist安全团队情报，北京时间 2023 年 12 月 14 日晚，Ledger Connect Kit 遭受供应链攻击，攻击者至少获利 60 万美元。

　　SlowMist安全团队第一时间介入分析，并发出预警：

　　目前该事件已经得到官方解决，慢雾安全团队现将应急信息分享如下：

Timeline：

　　7:43 PM，推特用户 @g4sarah 表示 DeFi 资管协议 Zapper 的前端疑似被劫持。

　　8:30 PM，Sushi 首席技术官 Matthew Lilley 在推特发布警告称：「请用户切勿与任何 dApp 交互，直至另行通知。一个常用的 Web3 connector（某 JavaScript 库，是 web3-react 项目的一部分）疑似已被破坏，允许注入影响众多 dApp 的恶意代码。」随后，其表示 Ledger 可能存在可疑代码。慢雾安全团队第一时间表示正在跟进和分析此事件。

　　8:56 PM，Revoke.cash 于推特发文表示：「与 Ledger Connect Kit 库集成的多个常用加密应用程序（包括 Revoke.cash）已受到损害。我们暂时关闭了该网站。我们建议在该漏洞利用期间不要使用任何加密网站。」随后，跨链 DEX 项目 Kyber Network 也表示，出于谨慎考虑，其已禁用前端 UI，直到情况明确为止。

　　9:31 PM，Ledger 也发布提醒：「我们已识别并删除了 Ledger Connect Kit 的恶意版本。现在正在推送正版版本来替换恶意文件，暂时不要与任何 dApp 交互。有新情况的话，我们会通知您。您的 Ledger 设备和 Ledger Live 没有受到损害。」

　　9:32 PM，MetaMask 也发布提醒：「用户在 MetaMask Portfolio 上执行任何交易之前，请确保已在 MetaMask 扩展中启用 Blockaid 功能。」

MistTrack 分析

　　Drainer customer: 0x658729879fca881d9526480b82ae00efc54b5c2d

　　Drainer fee address: 0x412f10AAd96fD78da6736387e2C84931Ac20313f

　　据 MistTrack 分析，攻击者 (0x658) 至少获利 60 万美元，且与钓鱼团伙 Angel Drainer 有关联。

　　Angel Drainer 团伙主要的攻击方式是对域名服务提供商及工作人员进行社会工程学攻击，感兴趣可点击阅读黑暗「天使」—— Angel Drainer 钓鱼团伙揭秘。

　　Angel Drainer(0x412) 目前持有近 36.3 万美元的资产。

　　根据慢雾威胁情报网络，有如下发现：

　　1）IP 168.*.*.46，185.*.*.167

　　2）攻击者已将部分 ETH 换为 XMR

　　11:09 PM，Tether 冻结了 Ledger 漏洞利用者的地址。另外，MistTrack 已拉黑相关地址，并将持续监控资金异动。