钱包最大的安全隐患来自于钱包公司的安全能力不足导致。在APT攻击面前非常脆弱,容易被当作供应链攻击的武器工具。
这次的安全事件,就是Ledger被APT攻击后,其自研的ledger钱包连接器(ledger-connect)被当作供应链攻击工具使用,继续攻击其使用了ledger钱包连接器的其它区块链应用及生态。
根据比特丛林的安全工程师检查发现:ledger的npm1.1.5至1.1.7版本均为恶意改动,所有使用ledger-connect库的项目均会遭到攻击。
截止目前最新消息,Ledger 已更新其代码库至 1.18 版本以删除恶意代码。
恶意代码解释:
sushi.com及revoke.cash存在恶意代码,经检查发现是上述网站都加载了ledger钱包连接器(ledger-connect)被供应链攻击。
该项目被注入可以盗窃虚拟货币的代码「https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1」
为什么会出现这种问题?
首页,根本原因就是Ledger处于市场头部地位,导致它具有巨大的攻击价值;但是Ledger本身的安全能力不足。在这类的APT攻击面前,就显得非常脆弱,很明显也事实证明它的整个系统已经被攻击打穿了。
其次,Ledger的应用场景非常丰富复杂,往往使用Ledger钱包连接器的应用安全防护也非常弱,这又导致进一步扩大了攻击面和降低了攻击难度。
因此,最底层的核心问题是Ledger公司不具备安全基因,不能够持续的为钱包做安全赋能,导致钱包的迭代升级能力较弱,无法应对层出不穷的新的攻击场景。
那一个好的钱包公司应该具备哪些基因?
第一,区块链安全基因,可以为钱包进行定向深入的安全赋能;
第二,金融基因,钱包属于金融产品,需要金融属性才能让大家更愿意使用;
第三,钱包属于硬件产品,涉及资金及供应链管理,门槛相当高;
第四,钱包的用户信任,是个需要至少5年的持续运营积累;
第五,要有永不作恶的初心。
比特丛林,作为一家白手起家的金融科技公司,而且核心业务为区块链安全,所以,我们天生肩负这个使命:打造一款永不丢币的钱包!
由此,比特丛林已决定启动硬件钱包业务,并计划于2024年中旬正式面市。我们初期融资目标为1000万美元,以加速硬件钱包业务的发展和推广。
比特丛林将重新定义硬件钱包,让这个赛道重新回归到安全。我们欢迎潜在投资人的加入,共同构建一个安全、创新的数字资产存储新时代!
APP 
