Озвучен ущерб от взлома кошельков Ledger: все получат компенсацию
Библиотека Ledger Connect Kit подверглась компрометации 14 декабря, что привело к ущербу в размере около $600 000 для пользователей кошельков. Компания Ledger заявила, что полностью компенсирует пострадавшим ущерб, и контролировать процесс будет глава компании Паскаль Готье.
Опубликованный отчет об инциденте раскрывает, что злоумышленник, используя фишинговую атаку на экс-сотрудника Ledger, получил доступ к его аккаунту в NPMJS. Хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit, в результате чего DeFi-платформы автоматически обновили свое ПО. Атака была обнаружена сообществом и блокирована спустя несколько часов.
![](https://img.ixbt.site/live/images/original/00/06/21/2023/12/21/9da6f5f9c8.webp?w=877)
Хотя вредоносный файл оставался доступным около 5 часов из-за особенностей сети, злоумышленник успел опустошить кошельки жертв в течение менее двух часов. Команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера. Зловред не получил доступ к инфраструктуре или репозитарию кода, ограничившись внедрением в интерфейсы приложений.
Для предотвращения подобных инцидентов в будущем, Ledger планирует закрыть опцию «слепой подписи» в 2024 году, рекомендуя использовать решение Clear Sign. Компания также признала упущение в контроле доступа к NPMJS-аккаунту экс-сотрудника и работает над внедрением дополнительных механизмов контроля.
Источник: forklog
0 комментариев
Добавить комментарий
Добавить комментарий