黑石集团在以太坊上的代币化基金支付了210万美元
Connect Kit Exploit引发了对Ledger安全框架的批评
Ledger因其加密安全解决方案和硬件钱包制造而闻名,最近在其Ledger Connect Kit中遭遇了一次漏洞,这是一个用于将网站连接到钱包的Javascript工具。这次漏洞持续时间不到两个小时,没有影响Ledger的硬件或Ledger Live,但局限于使用Connect Kit的第三方去中心化应用程序(dapps)。然而,这引发了对Ledger软件安全协议的质疑。
加密社区知名人士、比特币安全提供商Casa的CTO詹姆森·洛普指出了Ledger的三个关键失误:“盲目加载代码而不固定特定版本和校验和、未强制执行围绕代码审查和部署的‘两人规则’,以及未撤销前员工的访问权限。”
这些安全协议上的疏漏导致了漏洞的发生,前员工遭受网络钓鱼攻击,导致恶意代码被引入Ledger的NPMJS。Lefteris Karapetsas也批评了Ledger的做法,呼喊道:“你们疯了吗?为了方便而构建世界上最注重安全的库,却‘从CDN加载’,而不让用户等待dapps更新?”
行业评论员Cryptofinally对漏洞的性质表示怀疑:“想象一下,足够聪明地利用整个ledger到dapp接口,然后在代码中留下你的全名,导致你的Twitter账号显示,前ledger员工。”
作为对漏洞的回应,Ledger CEO帕斯卡尔·戈蒂埃承认了漏洞,并概述了加强安全措施的步骤。戈蒂埃表示:“这是一个不幸的孤立事件。这提醒我们安全并非静态,Ledger必须不断改进我们的安全系统和流程。”Ledger计划实施更严格的控制,特别是在软件供应链安全方面,以避免类似的未来事件。
该公司已与执法部门和网络安全专家合作,以追踪被盗资产,并正在与受影响的用户合作。“我们对受影响个人今天发生的事件深感遗憾,”戈蒂埃说。Ledger坚称事件已得到控制,并向加密社区保证威胁已得到缓解。戈蒂埃的声明还附有事件的完整时间表和应对措施。
在Ledger漏洞爆发后,各种dapps和加密公司立即采取行动以减轻影响。一些协议和公司出于预防目的禁用了其前端用户界面。采取行动的项目包括Lido、Sushi、Balancer、Revokecash、Zapper以及非同质化代币(NFT)市场Opensea。泰达币(USDT)CEO保罗·阿尔多伊诺还通知加密社区,稳定币公司冻结了Ledger的攻击者地址。
Arkham Intelligence宣布悬赏以找出Ledger Library Drainer Exploit背后的人。这次漏洞与“Angel Drainer”有关,导致多个dapps损失了超过50万美元。Arkham表示,奖励包括揭示Angel Drainer的身份、资金恢复线索,以及有关Angel Drainer事后进行的KYC交易所存款的信息。在OKX Dex事件导致损失270万美元后,Arkham也提供了类似的悬赏。