Атака на Ledger показывает, что компания «ничего не узнала» после многочисленных взломов: разработчик ENS

Члены криптосообщества опубликовали свои ответы на эксплойт Ledger Connect Kit, который затронул несколько децентрализованных приложений (DApps) в пространстве Web3.

14 декабря хакер атаковал интерфейс нескольких DApps, используя коннектор Ledger. Злоумышленник взломал основные приложения, такие как SushiSwap, Phantom и Revoke.cash, и похитил цифровые активы на сумму не менее 484 000 долларов США.

Ledger объявила, что устранила проблему через три часа после первых сообщений об атаке. Генеральный директор фирмы Паскаль Готье заявил, что это единичный инцидент, и отметил, что они работают с соответствующими правоохранительными органами, чтобы найти хакера и «привлечь его к ответственности».

Хотя Ledger утверждает, что это было изолированное событие, Linea, накопительный пакет с нулевым разглашением от Consensys, предупредил пользователей Web3, что уязвимость может повлиять на всю экосистему виртуальных машин Ethereum (EVM).

Через день после инцидента члены сообщества зашли в X (Твиттер), чтобы выразить свое мнение по поводу инцидента с Леджером. Некоторые советовали последователям использовать другие платформы кошельков, в то время как другие призывали Ledger сделать все открытым исходным кодом.

Объяснение безопасности Ledger pic.twitter.com/6hTeXYVWco

– Crypto PM (@CryptoPM_) 15 декабря 2023 г.

15 декабря сторонник Биткойна (BTC) Брэд Миллс посоветовал своим последователям X использовать оборудование только для биткойнов, созданное биткойн-инженерами, ориентированными на безопасность BTC. Миллс призвал членов сообщества никогда не подключать своих друзей к BTC с помощью аппаратных кошельков Ledger или Trezor.

В 2020 году еще один инцидент с Ledger привел к утечке информации о пользователях, такой как почтовые адреса, номера телефонов и адреса электронной почты. Ссылаясь на предыдущие взломы Ledger, разработчик службы имен Ethereum Ник Джонсон заявил в своем сообщении, что никто не должен рекомендовать свое оборудование или использовать их библиотеки.

Итак, ясно, что @Ledger ничего не узнал об opsec из-за многочисленных нарушений. На данный момент я не думаю, что кто-то должен с чистой совестью рекомендовать свое оборудование или использовать свои библиотеки.

– Nick.eth (@nicksdjohnson) 15 декабря 2023 г.

По словам Джонсона, Ledger продемонстрировал постоянное пренебрежение операционной безопасностью и больше не заслуживает «преимуществ сомнения в том, что они улучшатся».

Связанный: Децентрализованные приложения приостанавливают Ledger Connect из-за исправления эксплойта

Тем временем криптотрейдер и аналитик Криллин раскритиковал Ledger и обвинил их в том, что они потратили целый день на удаление негативных комментариев под своими публикациями на X.

Во время взлома 14 декабря злоумышленник использовал фишинговый эксплойт, чтобы получить доступ к компьютеру бывшего сотрудника Ledger. Был получен доступ к учетной записи JavaScript менеджера пакетов узла сотрудника, что привело к взлому.

После взлома один из членов сообщества посоветовал Ledger «открыть исходный код всего» и позволить сообществу стать их «хирургом», чтобы соединить их воедино. 24 мая компания объявила, что открыла исходный код многих своих приложений и намерена открыть исходный код большего количества своего кода.

По мнению членов сообщества, прозрачность – это не роскошь, а спасательный круг. «Доверие, однажды утраченное, требует открытых вен, а не завуалированных обещаний».

Журнал: «Абстракция аккаунта» расширяет возможности кошельков Ethereum: руководство для чайников