Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

10 месяцев назад Евгений Тюликов

Популярное

Лучшее за неделю

14 декабря 2023 года Connect Kit компании Ledger, библиотека Javascript для подключения кошельков, подверглась серьезному взлому. Этот инцидент был устранен в течение двух часов, вызвал ряд нареканий в сторону безопасности компании.

Ledger известна своими решениями по криптозащите и производству аппаратных кошельков, столкнулась со взломом в Javascript инструменте под названием Ledger Connect Kit, используемом для подключения веб-сайтов к кошелькам. Взлом, который длился менее двух часов, не повлиял на аппаратное обеспечение Ledger или Ledger Live, а ограничился сторонними децентрализованными приложениями (dapps), использующими Connect Kit. Однако это вызвало вопросы о протоколах безопасности программного обеспечения компании.

Джеймсон Лопп, технический директор компании Casa, обеспечивающей безопасность биткоина, указал на три критических сбоя в работе Ledger: "Загрузка кода без указания конкретной версии и контрольной суммы, несоблюдение правила "двух человек" при развертывании кода, а также отсутствие возможности отозвать доступ у бывших сотрудников".

Эти упущения в протоколе безопасности позволили произвести взлом, когда фишинговая атака на бывшего сотрудника привела к внедрению вредоносного кода в NPMJS компании Ledger. Лефтерис Карапетсас также раскритиковал подход Ledger, сказав: "Вы что, с ума сошли? Зачем вам создавать самую заботящуюся о безопасности библиотеку в мире, чтобы "загружать из CDN" для удобства, не заставляя пользователей ждать обновления dapps?".

Генеральный директор Ledger Паскаль Готье признал факт взлома и обозначил шаги по усилению мер безопасности. Готье заявил: "Это был досадный единичный случай. Это напоминание о том, что мошенники не стоят на месте, и мы должны постоянно совершенствовать наши системы безопасности". Ledger планирует усилить контроль, особенно в области безопасности программного обеспечения, чтобы предотвратить подобные инциденты в будущем.

Компания сотрудничает с правоохранительными органами и экспертами по кибербезопасности для отслеживания похищенных активов и работает с пострадавшими пользователями. "Мы глубоко сожалеем о событиях, которые произошли сегодня", - сказал Готье. Компания настаивает на том, что инцидент удалось локализовать. Вместе с заявлением Готье была опубликована полная хронология инцидента и ответных мер.

ADS

Зарегистрируйтесь на KuCoin и получите бонус 700 USDT.
Получите до 500 USDT в виде денежных вознаграждений и 200 USDT в виде торговых купонов! Получить награду.

После взлома Ledger различные dapps и криптовалютные компании предприняли немедленные действия для смягчения последствий. Несколько протоколов и компаний отключили свои внешние пользовательские интерфейсы в качестве меры предосторожности. Среди проектов, которые приняли меры, - Lido, Sushi, Balancer, Revokecash, Zapper, а также торговая площадка Opensea, специализирующаяся на продаже несгораемых токенов (NFT). Генеральный директор Tether Паоло Ардойно уведомил криптосообщество о том, что компания заморозила адрес эксплорера Ledger.

Компания Arkham Intelligence объявила вознаграждении за выявление тех, кто стоит за эксплойтом Ledger Library Drainer. Взлом, связанный с "Angel Drainer", привел к потере более $500K от нескольких dapps. Arkham заявила, что вознаграждение включает в себя раскрытие личности Angel Drainer'а, информацию о том, как вернуть средства, а также информацию об обменных депозитах KYC, сделанных Angel Drainer'ом после инцидента. Arkham предлагал аналогичное вознаграждение после инцидента с Okx Dex, в результате которого было потеряно 2,7 миллиона долларов.

Источник: Bitcoin News

Дата публикации: 15.12.2023

Подписывайтесь на VueDeFi в социальных сетях

Присоединяйтесь к VueDeFi на KuCoin и получайте эксклюзивные награды. Присоединяйтесь к VueDeFi на OKX и получайте эксклюзивные награды.

Дисклеймер

Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.

Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Подробнее

Читайте также

Binance оштрафована на $2,25 млн индийским подразделением финансовой полиции

Binance оштрафована на $2,25 млн индийским подразделением финансовой полиции

Индийская Финансовая полиция оштрафовала криптовалютную биржу Binance на 2,25 миллиона долларов за нарушения правил по борьбе с отмыванием денег. Штраф был наложен после расследования, выявившего многочисленные несоблюдения Закона о предотвращении отмывания денег (PMLA) 2002 года.

Kraken обвиняет исследователя безопасности в вымогательстве после обнаружения бага

Kraken обвиняет исследователя безопасности в вымогательстве после обнаружения бага

Криптовалютная биржа Kraken оказалась в центре скандала после заявления о вымогательстве со стороны исследователя безопасности, который обнаружил критический баг в системе.