Генеральный директор Ledger Паскаль Готье рассказал о взломе провайдера кошелька 14 декабря в сообщении в блоге компании. Он сказал, что взлом библиотеки коннекторов Javascript Ledger был «единичным инцидентом», и пообещал усилить контроль безопасности.
Мое личное обязательство: Ledger выделит как можно больше внутренних и внешних ресурсов, чтобы помочь пострадавшим людям вернуть свои активы.
– Паскаль Готье @Ledger (@_pgauthier) 14 декабря 2023 г.
По словам Готье, эксплойт работал менее двух часов и был деактивирован в течение 40 минут после обнаружения и распространялся только на сторонние децентрализованные приложения. По его словам, это стало возможным после того, как бывший сотрудник стал жертвой фишинга. Личность этого сотрудника якобы осталась в взломанном коде. Аппаратное обеспечение Ledger и платформа Ledger Live не были затронуты. Более того:
«Стандартная практика в Ledger заключается в том, что ни один человек не может развертывать код без проверки несколькими сторонами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, когда дело касается большинства частей нашей разработки. Так обстоит дело в 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger».
Готье далее назвал взлом «досадным изолированным инцидентом». Теперь он пообещал:
«Ledger внедрит более строгий контроль безопасности, подключив наш конвейер сборки, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM».
Взлом такого типа может случиться и с другими, добавил Готье. По словам Гутера, Ledger Connect Kit 1.1.8 безопасен и готов к использованию. Он поблагодарил WalletConnect, Tether, Chainaанализ и zachxbt за помощь.
Связанный: Ledger исправляет уязвимость после взлома нескольких DApps, использующих библиотеку коннекторов
Первоначально размер взлома оценивался в 484 000 долларов, но служба безопасности Web3 Blockaid позже сообщила , что к 20:00 UT сумма выросла до 504 000 долларов. Взлом может затронуть любого пользователя EVM, который взаимодействовал с затронутыми DApps, добавили в компании.
Вот список децентрализованных приложений, на которые может повлиять взлом @ledger! Вообще не взаимодействуйте с DEFI сегодня! Ни одно приложение не является безопасным, независимо от того, используете ли вы Ledger. pic.twitter.com/2ihbasF3R7
– Ран Нойнер (@cryptomanran) 14 декабря 2023 г.
Журнал: Биткоины на 3,4 миллиарда долларов в банке из-под попкорна: история хакера Silk Road
