加密貨幣用戶現在正在尋找不同的錢包選項,因為Ledger 由於其軟體庫的安全漏洞再次陷入困境。
🚨我們已經識別並刪除了Ledger Connect Kit 的惡意版本。 🚨
現在正在推送正版版本來取代惡意檔案。暫時不要與任何dApp 互動。隨著情況的發展,我們將隨時向你通報情況。
你的Ledger 設備和…
— Ledger (@Ledger) 2023 年12 月14 日
它特定於Ledger 的Connect Kit 和去中心化應用程式(dApp)。因此,如果你不使用任何dApp,也沒有問題。如果是,請在下週左右不要使用它們。
Ledger表示,主要問題已經解決,但你永遠不知道——未來幾天可能還會出現其他漏洞和問題。
Ledger的快速回應
不過好消息是,Ledger 在更新時間軸方面做得很好,保持透明,突出顯示即時發生的事情。
我個人的承諾:Ledger 將投入盡可能多的內部和外部資源來幫助受影響的個人恢復資產。
— 帕斯卡·高蒂爾@Ledger (@_pgauthier) 2023 年12 月14 日
就連他們的首席執行官Pascal Gautheir 也站出來表示:“我個人的承諾:Ledger 將投入盡可能多的內部和外部資源來幫助受影響的個人收回資產。”
閱讀:OKX交易所安全漏洞:不幸事件的關鍵要點
漏洞利用在加密貨幣社群中引起混亂、恐慌和憤怒
聽起來今天的安全事件是Ledger 三個獨立故障的結果:
1. 盲目載入程式碼而不固定特定版本和校驗和。
2. 沒有在程式碼審查和部署方面強制執行「兩人規則」。
3. 不撤銷前僱員的存取權限。
— 詹姆森·洛普(@lopp) 2023 年12 月14 日
以下是所發生事件的概要,讓我們重點介紹激怒加密貨幣社群的問題。
一名前Ledger 員工遭到網路釣魚,他的憑證被用來更改許多dApp 共享和使用的JavaScript 套件中的單一檔案。其中包括Sushi 和Zapper 等大牌。 Ledger 指出,沒有任何硬體設備受到損害,且該檔案完全由希望與Ledger 錢包相容的dApp 使用。
兩個小時內,社群發現了該漏洞並將檔案還原到安全版本。那時,受害者錢包裡已經有近50萬美元被掏空。 Tether 基金會已凍結涉案駭客的資金。
現在,社群質疑Ledger 作為一家保護人們資產的安全硬體公司,如何不撤銷前員工的存取權限——就像Business 101 一樣。
實際上,如果某人在不同的公司工作,如果他們離職或被解僱,公司應該會切斷與該前員工的聯繫。
在安全性方面,Ledger 應該具有最高的標準,因為他們致力於保護人們的資金。然而,他們再次讓客戶失望了。
閱讀:Ledger 因其有爭議的恢復服務而受到批評
最後的想法
我知道許多加密貨幣公司和任何新科技公司都會有錯誤。他們將面臨許多駭客和不良行為者試圖將他們擊倒。但Ledger 所做的事情確實激怒了加密貨幣社群。
由於這個問題仍然在人們的腦海中浮現,這將促使他們轉向中心化交易所,甚至合格的託管人。
然而,對於合格的託管人來說,這不一定是問題,因為他們有保險等。但正是這樣的東西將促使人們進行中心化交易所。我們不能在這樣的情況下嘗試讓下一個十億人進入加密貨幣領域。
資訊來源:由0x資訊編譯自BLOCKZEIT。版權歸作者Rickie Sanchez所有,未經許可,不得轉載
