e4pool.com

14 декабря был осуществлен эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. В самой компании заверили, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку. В своем открытом письме гендиректор Ledger Паскаль Готье заверил, что уязвимость уже была устранена.

Обращение Паскаля Готье

Готье пояснил, что эксплойт был совершен путем фишинговой атаки на бывшего сотрудника и внедрения вредоносного файла в менеджер пакетов для кода Javascript (NPMJS), совместно используемый приложениями.

Вместе с партнером WalletConnect компания устранила уязвимость, обновив NPMJS для удаления и деактивации вредоносного кода, на это ушло около 40 минут. Сам вредоносный файл был активен около пяти часов, при этом период вывода средств составил порядка двух часов, считают в Ledger.

Теперь компания автоматически обновляет Ledger Connect Kit до версии 1.1.8, которая безопасна для использования. Готье также поблагодарил за сотрудничество эмитента USDT Tether, аналитиков компании Chainalysis и анонимного исследователя блокчейна под ником ZachXBT. Так, Tether заморозила адрес хакера, о чем сообщил глава компании Паоло Ардоино. Согласно данным аналитической платформы Arkham Intelligence, на нем содержатся криптовалюты стоимостью $272 944.

Готье добавил, что в Ledger ни один человек не может развернуть код без проверки и одобрения нескольких сторон, а у любого сотрудника при увольнении аннулируется доступ ко внутренним системам, однако имел место «досадный единичный инцидент», и компания усовершенствует методы обеспечения безопасности.

Компания также сотрудничает с правоохранителями, чтобы помочь вернуть пострадавшим пользователям DApps украденные активы. Как отмечал ZachXBT, ущерб от эксплойта превысил $610 000.



https://getblock.net/news/ledger-ceo-an ... n-resolved