該錢包公司確認,本週的漏洞是一起不幸的孤立事件,此後 Ledger 於 12 月 14 日推出 Connect Kit 版本 1.1.8,停用了 Ledger 和 WalletConnect 中的惡意代碼。用戶現在已受到保護,但作爲額外的預防措施,建議等待 24 小時並清除瀏覽器緩存。
Ledger 董事長兼首席執行官 Pascal Gauthier 透露,安全漏洞是在一名前員工遭受網絡釣魚攻擊時發生的。
這使得惡意行爲者能夠將有害文件上傳到 Ledger 的 NPMJS,這是一個跨應用程序共享的 JavaScript 代碼包管理器。
Ledger 與合作伙伴 WalletConnect 合作,迅速對事件做出了反應,在發現該事件後的 40 分鐘內成功消除並停用了 NPMJS 上的惡意代碼。
在最新消息中,Gauthier 透露,這家總部位於巴黎的加密硬件錢包平臺的標準做法是,任何個人都不能未經多方審覈就部署代碼。他承認,在開發的大部分環節中,平臺都擁有強大的訪問控制、內部審覈和代碼多重簽名。
此外,當員工離職時,其對所有 Ledger 系統的訪問權限也會被立即撤銷。
“這是一個不幸的孤立事件。它提醒我們,安全並不是一成不變的,Ledger 必須不斷改進我們的安全系統和流程。在這方面,Ledger 將實施更強大的安全控制,將實施嚴格軟件供應鏈安全的構建管道連接到 NPM 分銷渠道。”
Ledger 表示,它正在積極配合當局,並保證將繼續協助正在進行的調查。
該平臺表示,將繼續與受影響的用戶合作,協作確定責任方,確保法律後果,追蹤資金,並配合執法部門從黑客手中追回被盜資產。
帖子“Ledger 解決安全漏洞:確認孤立事件”首先出現在 CryptoPotato 上。