Озвучен ущерб от взлома кошельков Ledger: все получат компенсацию

Библиотека Ledger Connect Kit подверглась компрометации 14 декабря, что привело к ущербу в размере около $600 000 для пользователей кошельков. Компания Ledger заявила, что полностью компенсирует пострадавшим ущерб, и контролировать процесс будет глава компании Паскаль Готье.

Опубликованный отчет об инциденте раскрывает, что злоумышленник, используя фишинговую атаку на экс-сотрудника Ledger, получил доступ к его аккаунту в NPMJS. Хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit, в результате чего DeFi-платформы автоматически обновили свое ПО. Атака была обнаружена сообществом и блокирована спустя несколько часов.

Хотя вредоносный файл оставался доступным около 5 часов из-за особенностей сети, злоумышленник успел опустошить кошельки жертв в течение менее двух часов. Команда WalletConnect отключила мошеннический аналог, а Tether заморозила USDT хакера. Зловред не получил доступ к инфраструктуре или репозитарию кода, ограничившись внедрением в интерфейсы приложений.

Для предотвращения подобных инцидентов в будущем, Ledger планирует закрыть опцию «слепой подписи» в 2024 году, рекомендуя использовать решение Clear Sign. Компания также признала упущение в контроле доступа к NPMJS-аккаунту экс-сотрудника и работает над внедрением дополнительных механизмов контроля.

Источник: forklog