Подключаемый набор для взлома вызвал критику в отношении системы безопасности Ledger

Эксплойт Ledger вызывает смешанные реакции в криптосфере; Dapps и Tether быстро реагируют на взлом

Ledger, известная своими решениями в области безопасности криптовалют и производством аппаратных кошельков, столкнулась с эксплойтом в своем Ledger Connect Kit, Javascript-инструменте, используемом для подключения веб-сайтов к кошелькам. Взлом, продлившийся менее двух часов, не затронул аппаратные кошельки Ledger или Ledger Live, но был ограничен сторонними децентрализованными приложениями (dapps), использующими Connect Kit. Тем не менее, это вызвало вопросы относительно протоколов безопасности программного обеспечения Ledger.

Джеймсон Лопп, выдающийся член крипто-сообщества и CTO провайдера безопасности биткоина Casa, указал на три критических недостатка у Ledger: “Безоговорочная загрузка кода без закрепления конкретной версии и контрольной суммы, отсутствие правила ‘два человека’ при проверке кода и развертывания, а также неотзыв доступа уволенных сотрудников.”

Эти просчеты в протоколе безопасности позволили эксплойту произойти, когда фишинговая атака на бывшего сотрудника привела к внедрению вредоносного кода в NPMJS Ledger. Лефтерис Карапетсас также раскритиковал подход Ledger, восклицая, “Вы что, с ума сошли? Почему бы вам построить самую безопасную библиотеку в мире для ‘загрузки с CDN’, ради удобства, без заставления пользователей ждать обновления dapps?”

Cryptofinally, ещё один комментатор индустрии, выразил недоверие к характеру взлома: “Представьте себе, насколько умным нужно быть, чтобы взломать весь интерфейс ledger к dapp, а затем оставить свое полное имя в коде, что приводит к вашему Twitter-аккаунту с надписью бывший сотрудник Ledger.”

В ответ на эксплойт генеральный директор Ledger Паскаль Готье признал нарушение и описал шаги для усиления мер безопасности. Готье заявил: “Это был несчастный изолированный случай. Это напоминание о том, что безопасность не статична, и Ledger должна непрерывно совершенствовать наши системы и процессы безопасности.” Ledger планирует внедрить более строгие контроли, особенно в области безопасности цепочки поставок программного обеспечения, чтобы предотвратить подобные инциденты в будущем.

Компания сотрудничает с правоохранительными органами и экспертами в области кибербезопасности для отслеживания украденных активов и работает с пострадавшими пользователями. “Мы глубоко сожалеем о событиях, которые развернулись сегодня для пострадавших людей,” сказал Готье. Ledger утверждает, что инцидент был локализован, и уверяет криптосообщество, что угроза была устранена. Полная хронология инцидента и усилий по реагированию также была опубликована наряду с заявлениями Готье.

В ответ на эксплойт Ledger различные dapps и криптокомпании немедленно приняли меры для минимизации ущерба. Несколько протоколов и компаний отключили свои пользовательские интерфейсы на фронтенде в качестве меры предосторожности. К проектам, предпринявшим действия, относятся Lido, Sushi, Balancer, Revokecash, Zapper и рынок невзаимозаменяемых токенов (NFT) Opensea. Генеральный директор Tether Паоло Ардоино также сообщил криптосообществу о том, что компания заморозила адрес эксплойтера Ledger.

Arkham Intelligence объявила награду за установление личности тех, кто стоит за эксплойтом библиотеки Drainer Ledger. Эксплойт, связанный с “Angel Drainer”, привел к потере более 500 тысяч долларов из нескольких dapps. Arkham заявила, что награды включают раскрытие личности Angel Drainer, информацию о восстановлении средств и сведения о депозитах после инцидента на биржах с КЮК (KYC) от Angel Drainer. Подобную награду Arkham предложила после инцидента с Okx Dex, в результате которого было потеряно 2,7 миллиона долларов.

Что вы думаете о недавнем эксплойте Ledger и критике? Поделитесь своими мыслями и мнениями по этому вопросу в разделе комментариев ниже.