Глава Ledger заявил об устранении уязвимости библиотеки Ledger Connect Kit для DApps
Аналитики оценивают ущерб от эксплойта в $610 000
15.12.2023 - 07:49
740
4 мин
0
Что произошло? 14 декабря был осуществлен эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. В самой компании заверили, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку. В своем открытом письме гендиректор Ledger Паскаль Готье заверил, что уязвимость уже была устранена.
Что еще известно? Готье пояснил, что эксплойт был совершен путем фишинговой атаки на бывшего сотрудника и внедрения вредоносного файла в менеджер пакетов для кода Javascript (NPMJS), совместно используемый приложениями.
Вместе с партнером WalletConnect компания устранила уязвимость, обновив NPMJS для удаления и деактивации вредоносного кода, на это ушло около 40 минут. Сам вредоносный файл был активен около пяти часов, при этом период вывода средств составил порядка двух часов, считают в Ledger.
Теперь компания автоматически обновляет Ledger Connect Kit до версии 1.1.8, которая безопасна для использования. Готье также поблагодарил за сотрудничество эмитента USDT Tether, аналитиков компании Chainalysis и анонимного исследователя блокчейна под ником ZachXBT. Так, Tether заморозила адрес хакера, о чем сообщил глава компании Паоло Ардоино. Согласно данным аналитической платформы Arkham Intelligence, на нем содержатся криптовалюты стоимостью $272 944.
Готье добавил, что в Ledger ни один человек не может развернуть код без проверки и одобрения нескольких сторон, а у любого сотрудника при увольнении аннулируется доступ ко внутренним системам, однако имел место «досадный единичный инцидент», и компания усовершенствует методы обеспечения безопасности.
Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код
Функция позволяет передать части seed-фразы на хранение третьим сторонам
Компания также сотрудничает с правоохранителями, чтобы помочь вернуть пострадавшим пользователям DApps украденные активы. Как отмечал ZachXBT, ущерб от эксплойта превысил $610 000.
Полезный материал?
Рынки
Нереализованная прибыль компании от инвестиций в первую криптовалюту приблизилась к 14 млрд долларов
19 нояб. 2024 г.
Происшествия
Обыск, причина которого не была озвучена, состоялся через неделю после выборов, результаты которых пользователи Polymarket предсказали достаточно точно
14 нояб. 2024 г.
Рынки
Аналитики указывают на рост популярности первой криптовалюты в качестве актива-убежища
13 нояб. 2024 г.
Рынки
Продукт начнет торговаться на Швейцарской бирже 19 ноября
12 нояб. 2024 г.
Рынки
Нереализованная прибыль компании от инвестиций в первую криптовалюту приблизилась к 13 млрд долларов
12 нояб. 2024 г.
Рынки
Компания прогнозирует, что курс первой криптовалюты вырастет до $200 000 к концу следующего года
11 нояб. 2024 г.