Генеральный директор Ledger объясняет взлом и называет его «единичным инцидентом»

Генеральный директор Ledger Паскаль Готье рассказал о взломе провайдера кошелька 14 декабря в сообщении в блоге компании. Он сказал, что взлом библиотеки коннекторов Javascript Ledger был «единичным инцидентом», и пообещал усилить контроль безопасности.

Мое личное обязательство: Ledger выделит как можно больше внутренних и внешних ресурсов, чтобы помочь пострадавшим людям вернуть свои активы.

– Паскаль Готье @Ledger (@_pgauthier) 14 декабря 2023 г.

По словам Готье, эксплойт работал менее двух часов и был деактивирован в течение 40 минут после обнаружения и распространялся только на сторонние децентрализованные приложения. По его словам, это стало возможным после того, как бывший сотрудник стал жертвой фишинга. Личность этого сотрудника якобы осталась в взломанном коде. Аппаратное обеспечение Ledger и платформа Ledger Live не были затронуты. Более того:

«Стандартная практика в Ledger заключается в том, что ни один человек не может развертывать код без проверки несколькими сторонами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, когда дело касается большинства частей нашей разработки. Так обстоит дело в 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger».

Готье далее назвал взлом «досадным изолированным инцидентом». Теперь он пообещал:

«Ledger внедрит более строгий контроль безопасности, подключив наш конвейер сборки, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM».

Взлом такого типа может случиться и с другими, добавил Готье. По словам Гутера, Ledger Connect Kit 1.1.8 безопасен и готов к использованию. Он поблагодарил WalletConnect, Tether, Chainaанализ и zachxbt за помощь.

Связанный: Ledger исправляет уязвимость после взлома нескольких DApps, использующих библиотеку коннекторов

Первоначально размер взлома оценивался в 484 000 долларов, но служба безопасности Web3 Blockaid позже сообщила , что к 20:00 UT сумма выросла до 504 000 долларов. Взлом может затронуть любого пользователя EVM, который взаимодействовал с затронутыми DApps, добавили в компании.

Вот список децентрализованных приложений, на которые может повлиять взлом @ledger! Вообще не взаимодействуйте с DEFI сегодня! Ни одно приложение не является безопасным, независимо от того, используете ли вы Ledger. pic.twitter.com/2ihbasF3R7

– Ран Нойнер (@cryptomanran) 14 декабря 2023 г.

Журнал: Биткоины на 3,4 миллиарда долларов в банке из-под попкорна: история хакера Silk Road