钱包最大的安全隐患来自于钱包公司的安全能力不足导致。在APT攻击面前非常脆弱,容易被当作供应链攻击的武器工具。

这次的安全事件,就是Ledger被APT攻击后,其自研的ledger钱包连接器(ledger-connect)被当作供应链攻击工具使用,继续攻击其使用了ledger钱包连接器的其它区块链应用及生态。

根据比特丛林的安全工程师检查发现:ledger的npm1.1.5至1.1.7版本均为恶意改动,所有使用ledger-connect库的项目均会遭到攻击。

​比特丛林:将投入6000万打造永不丢币的硬件钱包

截止目前最新消息,Ledger 已更新其代码库至 1.18 版本以删除恶意代码。

恶意代码解释:

sushi.com及revoke.cash存在恶意代码,经检查发现是上述网站都加载了ledger钱包连接器(ledger-connect)被供应链攻击。

该项目被注入可以盗窃虚拟货币的代码「https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1

​比特丛林:将投入6000万打造永不丢币的硬件钱包

为什么会出现这种问题?

首页,根本原因就是Ledger处于市场头部地位,导致它具有巨大的攻击价值;但是Ledger本身的安全能力不足。在这类的APT攻击面前,就显得非常脆弱,很明显也事实证明它的整个系统已经被攻击打穿了。

其次,Ledger的应用场景非常丰富复杂,往往使用Ledger钱包连接器的应用安全防护也非常弱,这又导致进一步扩大了攻击面和降低了攻击难度。

因此,最底层的核心问题是Ledger公司不具备安全基因,不能够持续的为钱包做安全赋能,导致钱包的迭代升级能力较弱,无法应对层出不穷的新的攻击场景。

那一个好的钱包公司应该具备哪些基因?

第一,区块链安全基因,可以为钱包进行定向深入的安全赋能;

第二,金融基因,钱包属于金融产品,需要金融属性才能让大家更愿意使用;

第三,钱包属于硬件产品,涉及资金及供应链管理,门槛相当高;

第四,钱包的用户信任,是个需要至少5年的持续运营积累;

第五,要有永不作恶的初心。

比特丛林,作为一家白手起家的金融科技公司,而且核心业务为区块链安全,所以,我们天生肩负这个使命:打造一款永不丢币的钱包!

由此,比特丛林已决定启动硬件钱包业务,并计划于2024年中旬正式面市。我们初期融资目标为1000万美元,以加速硬件钱包业务的发展和推广。

比特丛林将重新定义硬件钱包,让这个赛道重新回归到安全。我们欢迎潜在投资人的加入,共同构建一个安全、创新的数字资产存储新时代!

​比特丛林:将投入6000万打造永不丢币的硬件钱包
图为比特丛林创始人Eric 
23年12月13日预言钱包安全的核心问题