CEO i predsjednik Pascal Gauthier kaže da kompanija sarađuje sa organima reda kako bi “pronašla ovog malicioznog hakera i dovela ga pred lice pravde”.
CEO kompanije Ledger, Pascal Gauthier, obratio se u postu na blogu kompanije povodom hakovanja provajdera novčanika 14. decembra. On je rekao da je hakovanje Javascript konektor biblioteke Ledger-a bilo “izolovani incident” i obećao snažniju kontrolu sigurnosti.
Eksploatacija je trajala manje od dva sata i deaktivirana je unutar 40 minuta od otkrića, a bila je ograničena na decentralizovane aplikacije trećih strana (DApps), rekao je Gauthier. Omogućeno je nakon što je bivši zaposleni postao žrtva phishing prevare, tvrdi on. Identitet tog zaposlenog navodno je ostao u hakovanom kodu. Ledger hardver i platforma Ledger Live nisu bili pogođeni. Osim toga:
“Standardna praksa u Ledger-u je da nijedna osoba ne može implementirati kod bez pregleda od strane više strana. Imamo jake kontrole pristupa, unutrašnje recenzije i višestruke potpise kodova kada je riječ o većini dijelova našeg razvoja. To je slučaj u 99% naših internih sistema. Svaki zaposleni koji napusti kompaniju ima svoj pristup povučen iz svakog Ledger sistema.”
Gauthier je nastavio nazivajući hakovanje “neprijatnim izolovanim incidentom”. Obećao je da će ubuduće:
“Ledger implementirati jače sigurnosne kontrole, povezujući našu ‘build’ liniju koja primjenjuje stroge sigurnosne metode snabdjevanja softverom sa distribucijskim kanalom NPM.”
Gauthier je dodao da se ovakav hak može dogoditi i drugima. Ledger Connect Kit 1.1.8 je siguran i spreman za upotrebu, rekao je. Ganthier je zahvalio WalletConnect, Tether, Chainalysis i ZachXBT na pomoći.
Veličina hakovanja je prvobitno procjenjena na 484.000 dolara, ali je Web3 servis za bezbjednost Blockaid kasnije rekao Cointelegraph-u da se suma povećala na 504.000 dolara do 8:00 pm UTC. Hak može uticati na bilo kog korisnika Ethereum Virtual Machine koji je interagovao sa pogođenim DApps, dodala je kompanija.
Izvor: Cointelegraph
