В Ledger устранили эксплойт. CEO компании прокомментировал ситуацию
- В Ledger заявили о полном распространении исправленной версии Ledger Connect Kit.
- Компания якобы устранила вредоносный код, но пользователям порекомендовали подождать и почистить кэш.
- Ситуацию прокомментировал CEO фирмы Паскаль Готье.
- По его словам, злоумышленник получил доступ к библиотеке через фишинговую атаку на одного из бывших сотрудников.
В компании Ledger заявили о том, что полностью устранили эксплойт и заменили взломанную библиотеку. По словам CEO фирмы Паскаля Готье, причиной стала фишинговая атака на бывшего сотрудника.
В Ledger отметили, что успешно заменили взломанную библиотеку на исправленную. Вредоносный код якобы был деактивирован, и пользоваться Ledger Connect Kit теперь безопасно.
Вместе с тем, компания порекомендовала подождать некоторое время и почистить кэш в браузере:
CEO Ledger Паскаль Готье отметил, что причина взлома кроется в целенаправленной атаке на одного из бывших сотрудников:
«Он стал жертвой фишинга, который позволил злоумышленнику загрузить вредоносный файл в NPMJS Ledger (менеджер пакетов для кода Javascript)».
Готье заявил, что Ledger и партнер компании — WalletConnect — совместно обновили ПО и устранили эксплойт в течение 40 минут после его обнаружения.
CEO компании назвал произошедшее «досадным единичным инцидентом». Он пообещал, что фирма усилит меры по обеспечению безопасности.
Напомним, описанный выше инцидент произошел 14 декабря 2023 года. Под удар попали множество dApps, которые использовали библиотеку Ledger Connect Kit.
Комментарий о произошедшем от экспертов Hacken и HAPI вы можете прочесть в нашем материале.