Ο διευθύνων σύμβουλος του Ledger, Pascal Gauthier, ασχολήθηκε πρόσφατα με το περιστατικό που συνέβη στις 14 Δεκεμβρίου και αφορούσε παραβίαση της ασφάλειας του Javascript connector library του παρόχου πορτοφολιού της εταιρείας. Στη δήλωσή του στο blog post, ο Gauthier χαρακτήρισε το γεγονός αυτό ως “μεμονωμένο περιστατικό” και δεσμεύτηκε να ενισχύσει τα μέτρα ασφαλείας στο μέλλον.
Η παραβίαση, η οποία διήρκεσε λιγότερο από δύο ώρες, απενεργοποιήθηκε γρήγορα εντός 40 λεπτών από τον εντοπισμό της. Είναι σημαντικό ότι ο αντίκτυπός της περιορίστηκε στις αποκεντρωμένες εφαρμογές τρίτων (DApps), όπως διευκρίνισε ο Gauthier. Η βασική αιτία της ευπάθειας, εξήγησε, προήλθε από μια απάτη phishing με στόχο έναν πρώην υπάλληλο, του οποίου τα εκτεθειμένα διαπιστευτήρια έμειναν κατά λάθος μέσα στον εκτεθειμένο κώδικα. Ευτυχώς, το Ledger hardware και η πλατφόρμα Ledger Live παρέμειναν ανεπηρέαστα. Ο Gauthier ανέλυσε τις συνήθεις πρακτικές ασφαλείας του Ledger:
“Στο Ledger, είναι συνήθης πρακτικό ότι κανένα μεμονωμένο άτομο δεν μπορεί να αναπτύξει κώδικα χωρίς να υποβληθεί σε έλεγχο από πολλαπλά μέρη. Διατηρούμε ισχυρούς ελέγχους πρόσβασης, πραγματοποιούμε εσωτερικές αναθεωρήσεις και χρησιμοποιούμε πολλαπλές υπογραφές κώδικα στην πλειονότητα των διαδικασιών ανάπτυξης, καλύπτοντας το 99% των εσωτερικών μας συστημάτων. Επιπλέον, όταν ένας εργαζόμενος αποχωρεί από την εταιρεία, η πρόσβασή του ανακαλείται αμέσως από όλα τα συστήματα του Ledger”.
Ο Gauthier τόνισε ότι αυτό το περιστατικό ασφαλείας ήταν πράγματι ένα ατυχές και μοναδικό γεγονός. Για την ενίσχυση της μελλοντικής ασφάλειας, περιέγραψε τα σχέδια του Ledger:
“Δεσμευόμαστε να εφαρμόσουμε πιο ισχυρούς ελέγχους ασφαλείας ενσωματώνοντας τον αγωγό κατασκευής μας με αυστηρά μέτρα ασφαλείας της αλυσίδας εφοδιασμού λογισμικού που συνδέονται με το κανάλι διανομής της NPM”.
Σημείωσε επίσης ότι παρόμοια hacks θα μπορούσαν δυνητικά να στοχεύσουν και άλλες οντότητες. Διαβεβαίωσε τους χρήστες ότι το Ledger Connect Kit 1.1.8 παραμένει ασφαλές και ασφαλές για χρήση. Στις καταληκτικές παρατηρήσεις του, ο Gauthier εξέφρασε την ευγνωμοσύνη του προς τις WalletConnect, Tether, Chainalysis και ZachXBT για την υποστήριξή τους κατά τη διάρκεια αυτής της δύσκολης περιόδου.
Αρχικά εκτιμήθηκε σε 484.000 δολάρια, το εύρος των οικονομικών επιπτώσεων της παραβίασης αναθεωρήθηκε αργότερα σε 504.000 δολάρια από την υπηρεσία ασφαλείας Web3 Blockaid μέχρι τις 20:00 UTC. Επιπλέον, τονίστηκε ότι η παραβίαση θα μπορούσε δυνητικά να επηρεάσει οποιονδήποτε χρήστη του Ethereum Virtual Machine που αλληλεπιδρούσε με τις επηρεαζόμενες DApps.
Για περισσότερα ενημερωμένα νέα, βρείτε μας στο Twitter και στις Ειδήσεις ή εγγραφείτε στο κανάλι μας στο YouTube .
Ποια είναι η γνώμη σας για το συγκεκριμένο θέμα; Αφήστε μας το σχόλιο σας από κάτω! Πάντα μας ενδιαφέρει η γνώμη σας!
Αρθρογράφος: Dimitrios Alexandridis