Глава Ledger заявил об устранении уязвимости библиотеки Ledger Connect Kit для DApps
Аналитики оценивают ущерб от эксплойта в $610 000
15.12.2023 - 07:49
1159
4 мин
0
Что произошло? 14 декабря был осуществлен эксплойт Javascript-библиотеки Ledger Connect Kit для подключения веб-сайтов к аппаратным кошелькам Ledger. В самой компании заверили, что атака не повлияла на целостность аппаратного обеспечения Ledger или Ledger Live и затронула только сторонние децентрализованные приложения (DApps), которые использовали библиотеку. В своем открытом письме гендиректор Ledger Паскаль Готье заверил, что уязвимость уже была устранена.
Что еще известно? Готье пояснил, что эксплойт был совершен путем фишинговой атаки на бывшего сотрудника и внедрения вредоносного файла в менеджер пакетов для кода Javascript (NPMJS), совместно используемый приложениями.
Вместе с партнером WalletConnect компания устранила уязвимость, обновив NPMJS для удаления и деактивации вредоносного кода, на это ушло около 40 минут. Сам вредоносный файл был активен около пяти часов, при этом период вывода средств составил порядка двух часов, считают в Ledger.
Теперь компания автоматически обновляет Ledger Connect Kit до версии 1.1.8, которая безопасна для использования. Готье также поблагодарил за сотрудничество эмитента USDT Tether, аналитиков компании Chainalysis и анонимного исследователя блокчейна под ником ZachXBT. Так, Tether заморозила адрес хакера, о чем сообщил глава компании Паоло Ардоино. Согласно данным аналитической платформы Arkham Intelligence, на нем содержатся криптовалюты стоимостью $272 944.
Готье добавил, что в Ledger ни один человек не может развернуть код без проверки и одобрения нескольких сторон, а у любого сотрудника при увольнении аннулируется доступ ко внутренним системам, однако имел место «досадный единичный инцидент», и компания усовершенствует методы обеспечения безопасности.
Ledger запустила спорную функцию восстановления закрытых ключей и открыла ее исходный код
Функция позволяет передать части seed-фразы на хранение третьим сторонам
Компания также сотрудничает с правоохранителями, чтобы помочь вернуть пострадавшим пользователям DApps украденные активы. Как отмечал ZachXBT, ущерб от эксплойта превысил $610 000.
Полезный материал?
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.
Происшествия
По данным Blockaid, за атакой может стоять хакер, ранее взломавший 1inch Fusion V1.
7 мая 2026 г.
Происшествия
Злоумышленник получил административный доступ и изменил контракты, чтобы вывести средства пользователей.
30 апр. 2026 г.
Курсы криптовалют
-
Bitcoin
$64 825
BTC
-2.25%
-
Ethereum
$2 551.16
ETH
+3.56%
-
BNB Smart Chain
$579.4
BSC
+1.23%
-
Ripple
$1.21
XRP
+0.27%
-
Dogecoin
$0.091858
DOGE
-0.32%
-
TRON
$0.160134
TRX
-1.59%
-
Zcash
$618.87
ZEC
+4.74%
-
Cardano
$0.202311
ADA
-4.87%
-
Stellar XLM
$0.210956
XLM
-3.01%
-
Polkadot
$3.32
DOT
+5.27%