Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

Уязвимость Connect Kit вызвала критику в сторону безопасности Ledger

4 месяца назад Евгений Тюликов

Популярное

Лучшее за неделю

14 декабря 2023 года Connect Kit компании Ledger, библиотека Javascript для подключения кошельков, подверглась серьезному взлому. Этот инцидент был устранен в течение двух часов, вызвал ряд нареканий в сторону безопасности компании.

Ledger известна своими решениями по криптозащите и производству аппаратных кошельков, столкнулась со взломом в Javascript инструменте под названием Ledger Connect Kit, используемом для подключения веб-сайтов к кошелькам. Взлом, который длился менее двух часов, не повлиял на аппаратное обеспечение Ledger или Ledger Live, а ограничился сторонними децентрализованными приложениями (dapps), использующими Connect Kit. Однако это вызвало вопросы о протоколах безопасности программного обеспечения компании.

Джеймсон Лопп, технический директор компании Casa, обеспечивающей безопасность биткоина, указал на три критических сбоя в работе Ledger: "Загрузка кода без указания конкретной версии и контрольной суммы, несоблюдение правила "двух человек" при развертывании кода, а также отсутствие возможности отозвать доступ у бывших сотрудников".

Эти упущения в протоколе безопасности позволили произвести взлом, когда фишинговая атака на бывшего сотрудника привела к внедрению вредоносного кода в NPMJS компании Ledger. Лефтерис Карапетсас также раскритиковал подход Ledger, сказав: "Вы что, с ума сошли? Зачем вам создавать самую заботящуюся о безопасности библиотеку в мире, чтобы "загружать из CDN" для удобства, не заставляя пользователей ждать обновления dapps?".

Генеральный директор Ledger Паскаль Готье признал факт взлома и обозначил шаги по усилению мер безопасности. Готье заявил: "Это был досадный единичный случай. Это напоминание о том, что мошенники не стоят на месте, и мы должны постоянно совершенствовать наши системы безопасности". Ledger планирует усилить контроль, особенно в области безопасности программного обеспечения, чтобы предотвратить подобные инциденты в будущем.

Компания сотрудничает с правоохранительными органами и экспертами по кибербезопасности для отслеживания похищенных активов и работает с пострадавшими пользователями. "Мы глубоко сожалеем о событиях, которые произошли сегодня", - сказал Готье. Компания настаивает на том, что инцидент удалось локализовать. Вместе с заявлением Готье была опубликована полная хронология инцидента и ответных мер.

После взлома Ledger различные dapps и криптовалютные компании предприняли немедленные действия для смягчения последствий. Несколько протоколов и компаний отключили свои внешние пользовательские интерфейсы в качестве меры предосторожности. Среди проектов, которые приняли меры, - Lido, Sushi, Balancer, Revokecash, Zapper, а также торговая площадка Opensea, специализирующаяся на продаже несгораемых токенов (NFT). Генеральный директор Tether Паоло Ардойно уведомил криптосообщество о том, что компания заморозила адрес эксплорера Ledger.

ADS

Зарегистрируйтесь на KuCoin и получите бонус 700 USDT.
Получите до 500 USDT в виде денежных вознаграждений и 200 USDT в виде торговых купонов! Получить награду.

Компания Arkham Intelligence объявила вознаграждении за выявление тех, кто стоит за эксплойтом Ledger Library Drainer. Взлом, связанный с "Angel Drainer", привел к потере более $500K от нескольких dapps. Arkham заявила, что вознаграждение включает в себя раскрытие личности Angel Drainer'а, информацию о том, как вернуть средства, а также информацию об обменных депозитах KYC, сделанных Angel Drainer'ом после инцидента. Arkham предлагал аналогичное вознаграждение после инцидента с Okx Dex, в результате которого было потеряно 2,7 миллиона долларов.

Источник: Bitcoin News

Дата публикации: 15.12.2023

Подписывайтесь на VueDeFi в социальных сетях

Присоединяйтесь к VueDeFi на KuCoin и получайте эксклюзивные награды. Присоединяйтесь к VueDeFi на OKX и получайте эксклюзивные награды.

Дисклеймер

Информация, представленная на этом вебсайте, не является инвестиционным, финансовым, торговым или любым другим советом, и читатель не должен рассматривать любое содержимое сайта как таковое.

Всем пользователям настоятельно рекомендуется провести собственное исследование или обратиться к независимому и квалифицированному финансовому консультанту. Читатель самостоятельно несет полную ответственность за любые действия, совершаемые им на основании информации, полученной на нашем вебсайте.

Подробнее

Читайте также

6 марта Совет Федерации принял решение одобрить важный законопроект

6 марта Совет Федерации принял решение одобрить важный законопроект

6 марта Совет Федерации принял решение одобрить важный законопроект, который открывает новые перспективы для использования цифровых финансовых активов и утилитарных цифровых прав в международных расчетах. Об этом информирует ТАСС.

14 марта РБК-Крипто совместно с BitOK проведут вебинар, посвященный защите обменных пунктов от финансовых преступлений

14 марта РБК-Крипто совместно с BitOK проведут вебинар, посвященный защите обменных пунктов от финансовых преступлений

14 марта ведущий криптовалютный ресурс РБК-Крипто совместно с компанией BitOK проведут важный вебинар, посвященный защите обменных пунктов от финансовых преступлений.

LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH

LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH

Скандальное событие потрясло криптосообщество, когда команда LENA Network была обвинена в совершении rug pull на сумму 753,11 ETH (около $2,8 млн.). Последствия этого инцидента: цена токена проекта рухнула на 89%, в соответствии с данными DEX Screener. Цена упала с $2,6 до всего лишь $0,21, оставляя за собой след разочарования в криптосообществе.

Компания Nexo получила лицензию на предоставление криптовалютных услуг в Дубае

Компания Nexo получила лицензию на предоставление криптовалютных услуг в Дубае

Nexo, организация, предоставляющая цифровые активы, и ведущая криптовалютная кредитная платформа, получила предварительное разрешение от Управления по регулированию виртуальных активов Дубая.