Pascal Gauthier,Ledger的首席执行官,在公司博客上发表了一篇博文,详细阐述了钱包提供商在12月14日遭受的黑客攻击。他指出,针对Ledger JavaScript连接器库的这次黑客攻击是一次“独立事件”,并郑重承诺将加强安全防护措施。 我的个人承诺:Ledger将尽可能多地投入内部和外部资源,以帮助受影响的个人追回他们的资产。 ——Pascal Gauthier @Ledger (@_pgauthier) 2023年12月14日 Gauthier说,该漏洞运行时间不到两个小时,并在被发现后40分钟内被停用,仅限于第三方去中心化应用程序(DApps)。他说,这是由于一名前员工成为网络钓鱼攻击的受害者而造成的。该员工的身份据称留在了被黑客攻击的代码中。Ledger的硬件和Ledger Live平台没有受到影响。此外: “Ledger的标准做法是,没有一个人可以不经多个方审核就部署代码。我们在大多数开发方面都有强大的访问控制、内部审查和代码多重签名。这适用于我们99%的内部系统。任何离开公司的员工都会从我们每一个Ledger系统中撤销他们的访问权限。” 高蒂尔继续称此次黑客行为为“一次不幸的孤立事件”。他承诺,未来将: “Ledger将实施更强大的安全控制,将我们的构建管道(实施严格的软件供应链安全)连接到NPM分发渠道。” 高瑟补充道,这种黑客攻击可能会发生在其他人身上。他说,Ledger Connect Kit 1.1.8是安全的,可以随时使用。高瑟感谢WalletConnect、Tether、Chainalysis和ZachXBT的协助。 黑客攻击的规模最初估计为484,000美元,但Web3安全服务Blockaid后来告诉Cointelegraph,截至UTC时间下午8点,总金额已上升至504,000美元。该公司补充说,黑客攻击可能会影响与受影响的DApps交互的任何以太坊虚拟机用户。 以下是可能受到@ledger黑客攻击的dapps列表!今天不要与DEFI进行任何交互!无论您是否使用Ledger,任何应用程序都是不安全的。 — Ran Neuner (@cryptomanran) 2023年12月14日
|