ChainCatcher 消息，慢霧安全團隊在對 Ledger Connect Kit 供應鏈攻擊事件進行了深入分析，發現這次攻擊事件是由知名的 Angel Drainer 釣魚團夥發起的，並且 Angel Drainer 釣魚團夥使用智能合約來管理惡意 JS 檔案的訪問域名，為了盡可能避免 Web3 用戶遭受到釣魚攻擊導致的資產損失，慢霧安全團隊聯合 Scam Sniffer 團隊通過 Angel Drainer 釣魚團夥的一系列特徵識別了上千個釣魚網站，並將這些釣魚網站反饋到 eth-phishing-detect 希望通過社區的力量一同維護 Web3 行業的生態安全。目前，慢霧安全團隊已將發現的釣魚網站提交給了 eth-phishing-detect: https://github.com/MetaMask/eth-phishing-detect/pull/14528。同時，慢霧安全團隊使用 Dune 工具製作了數據看板來協助社區查看惡意JS的域名：https://dune.com/misttrack/angel-drainer，以便用戶查看並保護資產。

ChainCatcher 消息，Ledger 在社交平台表示，正版的 Ledger Connect Kit 1.1.8 版本現已推送。Ledger 和 WalletConnect 確認惡意代碼已被停用。用戶已可以安全 Ledger Connect Kit，但建議用戶等待 24 小時並清除瀏覽器快取。此前，黑客已利用 Ledger Connect Kit 漏洞竊取約 48.4 萬美元的資產。慢霧創始人余弦強調，Ledger 錢包本身未受影響，受影響的是依賴 Ledger 這個模塊的一些 DApp。

ChainCatcher 消息，慢霧安全威脅情報發現 @ledgerhq/connect-kit 遭受供應鏈攻擊，攻擊者在 @ledgerhq/connect-kit >1.1.4 的版本中植入了惡意的 JS 代碼從而對加密貨幣用戶發起釣魚攻擊。使用 @ledgerhq/connect-kit版本 >1.1.4 的 Dapp 均受到影響，請注意排查代碼中是否有使用到如下受影響版本。影響版本範圍：@ledgerhq/connect-kit 1.1.5 (攻擊者在代碼中進行留言)@ledgerhq/connect-kit 1.1.6 (攻擊者在代碼中進行留言並植入惡意的JS代碼)@ledgerhq/connect-kit 1.1.7 (攻擊者在代碼中進行留言並植入惡意的JS代碼)慢霧安全團隊建議，在沒有官方明確修復前，請謹慎使用DApp進行交互操作。