Компания-производитель кошелька подтвердила, что эксплойт, произошедший на этой неделе, был досадным изолированным инцидентом, после которого 14 декабря Ledger запустил версию Connect Kit 1.1.8, деактивировав вредоносный код в Ledger и WalletConnect. Теперь пользователи защищены, но в качестве дополнительной меры предосторожности рекомендуется подождать 24 часа и очистить кеш браузера.
Председатель и генеральный директор Ledger Паскаль Готье сообщил, что нарушение безопасности произошло, когда бывший сотрудник стал жертвой фишинговой атаки.
- Это позволило злоумышленнику загрузить вредоносный файл в NPMJS Ledger, менеджер пакетов кода JavaScript, используемый всеми приложениями.
- Сотрудничая с партнером WalletConnect, Ledger быстро отреагировал на инцидент, сумев устранить и деактивировать вредоносный код на NPMJS в течение 40 минут после его обнаружения.
- В своем обновлении Готье сообщил, что стандартной практикой на парижской платформе аппаратного криптокошелька является то, что ни один человек не может развертывать код без проверки несколькими сторонами. Он признал, что у него строгий контроль доступа, внутренние проверки и мультиподписи кода, когда дело касается большей части его разработки.
- Более того, когда сотрудник увольняется из компании, его доступ ко всем системам Ledger немедленно лишается.
«Это был досадный изолированный инцидент. Это напоминание о том, что безопасность не является статичной, и Ledger должен постоянно совершенствовать наши системы и процессы безопасности. В этой области Ledger внедрит более строгие меры безопасности, подключив наш конвейер сборки, который реализует строгую цепочку поставок программного обеспечения. безопасность канала распространения NPM».
- В Ledger заявили, что активно сотрудничают с властями, и заверили, что продолжат оказывать помощь в продолжающемся расследовании.
- Платформа заявила, что продолжит работать с пострадавшими пользователями, сотрудничать для выявления ответственной стороны, обеспечивать юридические последствия, отслеживать средства и сотрудничать с правоохранительными органами, чтобы способствовать возврату украденных активов у хакера.