Глава Ledger заявил об устранении уязвимости библиотеки Ledger Connect Kit для DApps
Аналитики оценивают ущерб от эксплойта в $610 000
15.12.2023 - 07:49
784
4 мин
0
Что произошло? 14 декабря был осуществлен эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. В самой компании заверили, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку. В своем открытом письме гендиректор Ledger Паскаль Готье заверил, что уязвимость уже была устранена.
Что еще известно? Готье пояснил, что эксплойт был совершен путем фишинговой атаки на бывшего сотрудника и внедрения вредоносного файла в менеджер пакетов для кода Javascript (NPMJS), совместно используемый приложениями.
Вместе с партнером WalletConnect компания устранила уязвимость, обновив NPMJS для удаления и деактивации вредоносного кода, на это ушло около 40 минут. Сам вредоносный файл был активен около пяти часов, при этом период вывода средств составил порядка двух часов, считают в Ledger.
Теперь компания автоматически обновляет Ledger Connect Kit до версии 1.1.8, которая безопасна для использования. Готье также поблагодарил за сотрудничество эмитента USDT Tether, аналитиков компании Chainalysis и анонимного исследователя блокчейна под ником ZachXBT. Так, Tether заморозила адрес хакера, о чем сообщил глава компании Паоло Ардоино. Согласно данным аналитической платформы Arkham Intelligence, на нем содержатся криптовалюты стоимостью $272 944.
Готье добавил, что в Ledger ни один человек не может развернуть код без проверки и одобрения нескольких сторон, а у любого сотрудника при увольнении аннулируется доступ ко внутренним системам, однако имел место «досадный единичный инцидент», и компания усовершенствует методы обеспечения безопасности.
Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код
Функция позволяет передать части seed-фразы на хранение третьим сторонам
Компания также сотрудничает с правоохранителями, чтобы помочь вернуть пострадавшим пользователям DApps украденные активы. Как отмечал ZachXBT, ущерб от эксплойта превысил $610 000.
Полезный материал?
Тренды
По состоянию на 21 января капитализация этого сектора крипторынка превышает 519 млрд долларов
21 янв. 2025 г.
Рынки
Выручка платформы за то же время составила 9,5 млн долларов
20 янв. 2025 г.
Рынки
Паи Траста предназначены для отслеживания рыночной цены XRP за вычетом комиссий и расходов
17 янв. 2025 г.
Рынки
Актив позволит беспрепятственно перемещать USDT между различными блокчейнами
17 янв. 2025 г.
Рынки
Ранее сообщество раскритиковало проект за отсутствие прозрачности, что привело к резкому падению курса токена HYPE
8 янв. 2025 г.
Рынки
Рост доходности казначейских облигаций США негативно сказывается на рисковых активах
8 янв. 2025 г.
Курсы криптовалют
-
Bitcoin
$105 657
BTC
+2.97%
-
Ethereum
$3 328.55
ETH
+2.5%
-
Ripple
$3.18
XRP
+3.39%
-
BNB Smart Chain
$579.4
BSC
+1.23%
-
Dogecoin
$0.372271
DOGE
+8.53%
-
Cardano
$1
ADA
+1.54%
-
Stellar XLM
$0.435904
XLM
+0.04%
-
Polkadot
$6.62
DOT
+6.09%
-
Bitcoin Cash
$449.68
BCH
+5.99%
-
Litecoin
$117.96
LTC
+1.95%