Генеральний директор Ledger Паскаль Готьє звернувся до злому постачальника гаманця 14 грудня в публікації в блозі компанії. Він сказав, що злом Javascript-коннектора Ledger Library був «ізольованим інцидентом» і пообіцяв посилити контроль безпеки.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
Експлойт діяв менше двох годин і був дезактивований протягом 40 хвилин після виявлення та був обмежений сторонніми DApps, сказав Готьє. За його словами, це стало можливим після того, як колишній співробітник став жертвою фішингу. Ідентичність цього співробітника нібито була залишена в зламаному коді. Апаратне забезпечення Ledger і платформа Ledger Live не постраждали. Крім того:
«Стандартна практика Ledger полягає в тому, що жодна особа не може розгортати код без перегляду кількома сторонами. У нас є надійні засоби контролю доступу, внутрішні перевірки та мультипідписи коду, коли мова йде про більшість частин нашої розробки. Це стосується 99% наших внутрішніх систем. Будь-якому працівнику, який залишає компанію, буде скасовано доступ до кожної системи Ledger».
Далі Готьє назвав злом «прикрим ізольованим інцидентом». Тепер він пообіцяв:
«Ledger запровадить посилені засоби контролю безпеки, з’єднавши наш конвеєр збірки, який реалізує сувору безпеку ланцюжка поставок програмного забезпечення, з каналом розподілу NPM».
Злом такого типу може статися з іншими, додав Готьє. Набір Ledger Connect 1.1.8 безпечний і готовий до використання, сказав Гутейр. Він подякував WalletConnect, Tether, Chainalysis і zachxbt за допомогу.
Пов’язане: Ledger виправляє вразливість після зламаних кількох DApps, які використовують конектор Library
Розмір злому спочатку оцінювався в 484 000 доларів, але служба безпеки Web3 Blockaid пізніше повідомила Cointelegraph, що до 20:00 UT сума зросла до 504 000 доларів. Злом може вплинути на будь-якого користувача EVM, який взаємодіяв із ураженими DApps, додала компанія.
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023