12月15日消息,Ledger 董事长兼首席执行官 Pascal Gauthier 在一份公开信中通报了关于 Ledger Connect Kit 被利用的情况。关键要点如下:2023年12月14日,Ledger 面临其 Ledger Connect Kit 的利用问题。Ledger Connect Kit 是一个 JavaScript 库,用于将网站连接到加密货币钱包。Ledger 与行业合作伙伴迅速协作,以中和这次利用并尝试快速冻结被盗资金。该事件持续不到两小时。目前该事件正在调查中。Ledger 已提交了相关投诉,并将努力帮助受影响者恢复资金。该事件并未影响 Ledger 实体钱包和 Ledger Live 的安全性。利用限于使用 Ledger Connect Kit 的第三方去中心化应用。
Gauthier 说明,此次事件是由于一名前员工遭受网络钓鱼攻击,导致恶意行为者在 Ledger 的 NPMJS(JavaScript 代码的包管理器)上上传了恶意文件。Ledger 迅速响应,与合作伙伴 WalletConnect 一起在40分钟内更新了 NPMJS,以消除和禁用恶意代码。为了应对此类事件,Ledger 将加强安全控制,与 NPM 配送渠道建立安全链。他还强调了提高去中心化应用(DApps)安全标准的重要性,并支持清晰签名(clear-signing)而非盲签名(blind-signing),以减少欺诈风险。此外,Ledger 正与当局合作,并采取一切可能的措施来协助调查,并支持受影响用户。