Генеральный директор Ledger Паскаль Готье рассказал о взломе провайдера кошелька 14 декабря в сообщении в блоге компании. Он сказал, что взлом соединителя Javascript Library от Ledger был «единичным инцидентом» и пообещал усилить контроль безопасности.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
По словам Готье, эксплойт работал менее двух часов и был деактивирован в течение 40 минут после обнаружения и распространялся только на сторонние децентрализованные приложения. По его словам, это стало возможным после того, как бывший сотрудник стал жертвой фишинга. Личность этого сотрудника якобы осталась в взломанном коде. Аппаратное обеспечение Ledger и платформа Ledger Live не были затронуты. Более того:
«Стандартная практика в Ledger заключается в том, что ни один человек не может развертывать код без проверки несколькими сторонами. У нас есть строгий контроль доступа, внутренние проверки и мультиподписи кода, когда дело касается большинства частей нашей разработки. Так обстоит дело в 99% наших внутренних систем. Любой сотрудник, покидающий компанию, лишается доступа ко всем системам Ledger».
Готье далее назвал взлом «досадным изолированным инцидентом». Теперь он пообещал:
«Ledger внедрит более строгий контроль безопасности, подключив наш конвейер сборки, который обеспечивает строгую безопасность цепочки поставок программного обеспечения, к каналу распространения NPM».
Взлом такого типа может случиться и с другими, добавил Готье. По словам Гутера, Ledger Connect Kit 1.1.8 безопасен и готов к использованию. Он поблагодарил WalletConnect, Tether, Chainaанализ и zachxbt за помощь.
Связанный: Ledger исправляет уязвимость после взлома нескольких DApps, использующих коннектор Library
Первоначально размер взлома оценивался в 484 000 долларов, но служба безопасности Web3 Blockaid позже сообщила Cointelegraph, что к 20:00 UT сумма выросла до 504 000 долларов. Взлом может затронуть любого пользователя EVM, который взаимодействовал с затронутыми DApps, добавили в компании.
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023
