14 декабря 2023 года Connect Kit компании Ledger, библиотека Javascript для подключения кошельков, подверглась серьезному взлому. Этот инцидент был устранен в течение двух часов, вызвал ряд нареканий в сторону безопасности компании.
Ledger известна своими решениями по криптозащите и производству аппаратных кошельков, столкнулась со взломом в Javascript инструменте под названием Ledger Connect Kit, используемом для подключения веб-сайтов к кошелькам. Взлом, который длился менее двух часов, не повлиял на аппаратное обеспечение Ledger или Ledger Live, а ограничился сторонними децентрализованными приложениями (dapps), использующими Connect Kit. Однако это вызвало вопросы о протоколах безопасности программного обеспечения компании.
Джеймсон Лопп, технический директор компании Casa, обеспечивающей безопасность биткоина, указал на три критических сбоя в работе Ledger: "Загрузка кода без указания конкретной версии и контрольной суммы, несоблюдение правила "двух человек" при развертывании кода, а также отсутствие возможности отозвать доступ у бывших сотрудников".
Эти упущения в протоколе безопасности позволили произвести взлом, когда фишинговая атака на бывшего сотрудника привела к внедрению вредоносного кода в NPMJS компании Ledger. Лефтерис Карапетсас также раскритиковал подход Ledger, сказав: "Вы что, с ума сошли? Зачем вам создавать самую заботящуюся о безопасности библиотеку в мире, чтобы "загружать из CDN" для удобства, не заставляя пользователей ждать обновления dapps?".
Генеральный директор Ledger Паскаль Готье признал факт взлома и обозначил шаги по усилению мер безопасности. Готье заявил: "Это был досадный единичный случай. Это напоминание о том, что мошенники не стоят на месте, и мы должны постоянно совершенствовать наши системы безопасности". Ledger планирует усилить контроль, особенно в области безопасности программного обеспечения, чтобы предотвратить подобные инциденты в будущем.
Компания сотрудничает с правоохранительными органами и экспертами по кибербезопасности для отслеживания похищенных активов и работает с пострадавшими пользователями. "Мы глубоко сожалеем о событиях, которые произошли сегодня", - сказал Готье. Компания настаивает на том, что инцидент удалось локализовать. Вместе с заявлением Готье была опубликована полная хронология инцидента и ответных мер.
После взлома Ledger различные dapps и криптовалютные компании предприняли немедленные действия для смягчения последствий. Несколько протоколов и компаний отключили свои внешние пользовательские интерфейсы в качестве меры предосторожности. Среди проектов, которые приняли меры, - Lido, Sushi, Balancer, Revokecash, Zapper, а также торговая площадка Opensea, специализирующаяся на продаже несгораемых токенов (NFT). Генеральный директор Tether Паоло Ардойно уведомил криптосообщество о том, что компания заморозила адрес эксплорера Ledger.
Компания Arkham Intelligence объявила вознаграждении за выявление тех, кто стоит за эксплойтом Ledger Library Drainer. Взлом, связанный с "Angel Drainer", привел к потере более $500K от нескольких dapps. Arkham заявила, что вознаграждение включает в себя раскрытие личности Angel Drainer'а, информацию о том, как вернуть средства, а также информацию об обменных депозитах KYC, сделанных Angel Drainer'ом после инцидента. Arkham предлагал аналогичное вознаграждение после инцидента с Okx Dex, в результате которого было потеряно 2,7 миллиона долларов.
Источник: Bitcoin News
Подписывайтесь на VueDeFi в социальных сетях
Дисклеймер
Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.
Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.
