코인 렛저관련 이슈가 있었나 보네요

DApp 사용 주의

블록에이드는 잠재적인 공급망 공격이 레저커넥트 키트에서 발생했으며, 공격자가 인기 있는 NPM 패키지에 지갑을 탈취하는 페이로드를 삽입한 것을 발견했습니다. 이 공격은 현재 Hey를 비롯한 여러 인기 디앱에 영향을 미치고 있습니다. 재퍼와(Zapper) 스시(Sushi) 프론트엔드가 탈취당했습니다. — link (https://twitter.com/blockaid_/status/1735275569586090221?s=20)

슬로우미스트: Ledger의 한 모듈이 공급망에 의해 탈취되어 변조되었습니다. 많은 디앱이 Ledger의 포이즌 라이브러리 ledgerhq/connect-kit에 의존하고 있을 가능성이 있습니다. 모든 디앱 관련 작업에 주의를 기울이고 지갑에서 서명할 요청 정보가 예상되는지 주의하세요.

스시 CTO: LedgerHQ/connect-kit을 사용하는 모든 dApp은 취약합니다. 추후 공지가 있을 때까지 모든 디앱을 사용하지 마세요. 이것은 하나의 고립된 공격이 아니라 여러 디앱에 대한 대규모 공격입니다. 레저 디앱 커넥트 키트를 통해 개발자는 레저 익스텐션 또는 레저 라이브를 사용하여 레저 하드웨어 지갑에 디앱을 연결할 수 있습니다. — link (https://twitter.com/MatthewLilley/status/1735279646999040321?s=20)

Ledger: 저희는 레저 커넥트 키트의 악성 버전을 확인하여 제거했습니다. 현재 악성 파일을 대체할 정품 버전이 배포되고 있습니다. 당분간 어떤 디앱과도 상호작용하지 마시기 바랍니다. 상황의 진전에 따라 계속 알려드리겠습니다. 레저 장치와 레저 라이브는 손상되지 않았습니다. — link (https://twitter.com/Ledger/status/1735291427100455293?s=20)

이고르 이감베르디예프: drainer가 포함된 첫 번째 connect-kit 버전(1.1.6)이 오전 9시 44분(UTC)에 npm 레지스트리에 추가되었습니다. 이 시간부터 UI와 상호 작용하지 않았는지 확인하는 것이 좋습니다.

ZachXBT: $610,000 이상이 탈취된 것으로 보입니다.

메타마스크: 메타마스크 포트폴리오에서 트랜잭션을 수행하기 전에 메타마스크 확장 프로그램에서 블록에이드 기능이 켜져 있는지 확인하시기 바랍니다. 메타마스크 포트폴리오 팀이 이 문제를 해결하고 있으며, 오늘 중으로 수정 사항이 적용될 예정입니다.

관련 트위터: https://twitter.com/blockaid_

아래는 렛저팀 어제 트위터네요.

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves. 

Your Ledger device and Ledger Live were not compromised.