EVM dApp面临安全大考。

原文作者：Loopy

今日，著名的硬件钱包品牌 Ledger 出现重大安全事故。虽然 Ledger 有出售自己的硬件钱包，但这一事故波及面极广，远不止钱包自身，更有大量 dApp 被暴露于风险之下。目前，尚未有受损资金统计。

Odaily星球日报提醒用户，在形势明朗前，请先暂停一切 EVM 链上交互。

Ledger 出现了什么问题？

首先，本次攻击并非针对 Ledger 的硬件钱包，而是针对 dApp 进行。在 Ledger 的 GitHub 上， Ledger Library 中的 Ledger ConnectKit 套件的代码遭到了恶意篡改。

被修改的部分，则是用于 Ledger 的 WalletConnect 这一功能之中。

Ledger ConnectKit是 Ledger 提供的一个服务，具体来说，它可以减轻开发者的工作。众所周知，dApp 如果想进行交互，则必须要连接钱包，那么如何和钱包产生“连接”呢？开发者当然可以参考钱包的文档，自行开发连接部分的代码，但更成熟、更简便的方式是，使用体验优秀的、第三方的、成熟的“连接器”，直接使用由大厂开发的“连接”功能。

WalletConnect 即是这样的一个服务。它可以让用户的钱包和 dApp 产生连接，因此这一功能与几乎所有链上用户都息息相关，影响范围远超硬件钱包的用户。

哪些服务受到影响？

目前，受到影响的全部 dApp 列表尚无明确统计。但由于 Ledger 强大的影响力，大量的 dApp 均集成了这一功能，因此可以判断，受影响的 dApp 范围极广。

Odaily星球日报再次提醒广大用户，目前先停止一切 EVM 链上的交互行为。

甚至，连以“取消授权”功能而著称的 Revoke.cash 都受到了影响。这也让部分本未受到影响的用户，在取消授权之时，不幸遇到了风险事件。有社区用户反映，Revoke.cash 网站的漏洞颇为严重，他甚至未曾进行钱包链接，仅仅只是打开前端，Web 网页就已在试图相其电脑植入木马。

Revoke.cash于 X 平台发文表示，Revoke.cash 已暂时关闭了网站，建议在该漏洞被利用期间不要使用任何加密网站。

Sushi 是最早被发现收到影响的平台之一。Sushi CTO Matthew Lilley 于 X 平台预警表示：“在另行通知之前，请不要与任何 Dapp 交互。某个Web3常用的连接器（connector）”疑似遭遇破坏，现可被注入影响众多 DApp 的恶意代码。”安全团队派盾 PeckShieldAlert 指出，其社区贡献者报告称 Zapper 和 Sushi 的前端已受到损害。

跨链 DEX 项目 Kyber Network 在 X 平台发文表示，出于谨慎考虑，其已禁用前端 UI，直到情况明确为止。

当前，已有包括 Trader Joe 、Hey 在内的部分 Dapp 表态已主动暂停与 Ledger 连接器集成，直至另行通知。

当然，也有“逃过一劫”的项目，Aava 创始人 Stani 就表示，Aava 暂未受影响，所有资金安全。但在 Ledger 进一步澄清之前，仍不要使用 DApp。

安全事件发酵后，市场大盘发生动荡，或为受到此事件影响。欧易 OKX 行情显示，BTC 一度下探至 41202 USDT， 1 小时内振幅 4.4% 。ETH 一度下探至 2226 USDT 1 小时内振幅 3.35% 。

最新进展更新

Scope Protocol 联创 0xSentry 在X 平台称，攻击者留下的数字痕迹中涉及@JunichiSugiura（Jun，Ledger 前员工）的 Gmail 账户，后者的帐户（信息）可能已被泄露。

22 点 44 分，据 Lookonchain 监测，Ledger Connect Kit 漏洞黑客已窃取了约 48.4 万美元的资产。Ledger 攻击者将 4.334 枚 ETH 转移到 Angel Drainer。