据Blockworks报道,Ledger公司首席执行官帕斯卡尔-高迪尔(Pascal Gauthier)在周四的一篇文章中谈到了供应链对其Ledger ConnectKit的攻击。Gauthier表示,Ledger的标准做法是,任何一个人都不能在未经多方审查的情况下部署代码,而且其大部分开发工作都有严格的访问控制、内部审查和多重签名代码。然而,周四上午的情况并非如此,一名前雇员遭到了网络钓鱼攻击,黑客因此获得了访问 Ledger 软件包管理器的权限。目前还不清楚这名员工是如何保持系统访问权限的。
Gauthier 称这次事件是一次不幸的孤立事件,并强调需要不断改进安全系统和流程。Ledger 计划实施更强的安全控制,将其构建管道连接到 NPM 分销渠道,以实现更严格的软件供应链安全。此外,Ledger 还将提高支持基于浏览器签名的 dapp 的安全性。
周四上午,去中心化交易所 SushiSwap 首次报告了这一事件,该公司在收到警告后下线了其前端网络应用,并建议用户避免接触意外弹出的 "连接钱包"。网络安全公司 BlockAid 称,Revoke.cash 也受到了影响。Ledger 部署了真正的 ConnectKit,并与 WalletConnect 合作,在发现后 40 分钟内删除了恶意代码。该漏洞活跃了大约 5 个小时。
Tether 首席执行官 Paolo Ardoino 发布消息称,攻击者的地址已被冻结。Gauthier 表示,Ledger 正在与当局合作,尽一切可能协助调查,支持受影响的用户找到坏人,将其绳之以法,追踪资金,并与执法部门合作从黑客手中追回被盗资产。
Cointelegraph