简述 Ledger 遭遇供应链攻击事件，「请用户停止链上交互」

EVM DApp 面临安全大考。

撰文：Loopy，Odaily 星球日报

今日，著名的硬件钱包品牌 Ledger 出现重大安全事故。虽然 Ledger 有出售自己的硬件钱包，但这一事故波及面极广，远不止钱包自身，更有大量 dApp 被暴露于风险之下。目前，尚未有受损资金统计。

Odaily 星球日报提醒用户，在形势明朗前，请先暂停一切 EVM 链上交互。

Ledger 出现了什么问题？

首先，本次攻击并非针对 Ledger 的硬件钱包，而是针对 dApp 进行。在 Ledger 的 GitHub 上， Ledger Library 中的 Ledger ConnectKit 套件的代码遭到了恶意篡改。

被修改的部分，则是用于 Ledger 的 WalletConnect 这一功能之中。

Ledger ConnectKit 是 Ledger 提供的一个服务，具体来说，它可以减轻开发者的工作。众所周知，dApp 如果想进行交互，则必须要连接钱包，那么如何和钱包产生「连接」呢？开发者当然可以参考钱包的文档，自行开发连接部分的代码，但更成熟、更简便的方式是，使用体验优秀的、第三方的、成熟的「连接器」，直接使用由大厂开发的「连接」功能。

WalletConnect 即是这样的一个服务。它可以让用户的钱包和 dApp 产生连接，因此这一功能与几乎所有链上用户都息息相关，影响范围远超硬件钱包的用户。

哪些服务受到影响？

目前，受到影响的全部 dApp 列表尚无明确统计。但由于 Ledger 强大的影响力，大量的 dApp 均集成了这一功能，因此可以判断，受影响的 dApp 范围极广。

Odaily 星球日报再次提醒广大用户，目前先停止一切 EVM 链上的交互行为。

甚至，连以「取消授权」功能而著称的 Revoke.cash 都受到了影响。这也让部分本未受到影响的用户，在取消授权之时，不幸遇到了风险事件。有社区用户反映，Revoke.cash 网站的漏洞颇为严重，他甚至未曾进行钱包链接，仅仅只是打开前端，Web 网页就已在试图相其电脑植入木马。

Revoke.cash 于 X 平台发文表示，Revoke.cash 已暂时关闭了网站，建议在该漏洞被利用期间不要使用任何加密网站。

Sushi 是最早被发现收到影响的平台之一。Sushi CTO Matthew Lilley 于 X 平台预警表示：「在另行通知之前，请不要与任何 Dapp 交互。某个 Web3 常用的连接器（connector）疑似遭遇破坏，现可被注入影响众多 DApp 的恶意代码。」安全团队派盾 PeckShieldAlert 指出，其社区贡献者报告称 Zapper 和 Sushi 的前端已受到损害。

跨链 DEX 项目 Kyber Network 在 X 平台发文表示，出于谨慎考虑，其已禁用前端 UI，直到情况明确为止。

当前，已有包括 Trader Joe 、Hey 在内的部分 Dapp 表态已主动暂停与 Ledger 连接器集成，直至另行通知。

当然，也有「逃过一劫」的项目，Aava 创始人 Stani 就表示，Aava 暂未受影响，所有资金安全。但在 Ledger 进一步澄清之前，仍不要使用 DApp。

安全事件发酵后，市场大盘发生动荡，或为受到此事件影响。欧易 OKX 行情显示，BTC 一度下探至 41202 USDT， 1 小时内振幅 4.4% 。ETH 一度下探至 2226 USDT 1 小时内振幅 3.35% 。