PANews 12月15日消息,Ledger 董事長兼首席執行官Pascal Gauthier 在一份公開信中通報了關於Ledger Connect Kit 被利用的情況。關鍵要點如下:2023年12月14日,Ledger 面臨其Ledger Connect Kit 的利用問題。 Ledger Connect Kit 是一個JavaScript 函式庫,用於將網站連接到加密貨幣錢包。 Ledger 與產業合作夥伴迅速協作,以中和這次利用並嘗試快速凍結被盜資金。該事件持續不到兩小時。目前該事件正在調查中。 Ledger 已提交了相關投訴,並將努力幫助受影響者恢復資金。該事件並未影響Ledger 實體錢包和Ledger Live 的安全性。利用限於使用Ledger Connect Kit 的第三方去中心化應用程式。

Gauthier 說明,這起事件是由於一名前員工遭受網路釣魚攻擊,導致惡意行為者在Ledger 的NPMJS(JavaScript 程式碼的套件管理器)上上傳了惡意檔案。 Ledger 迅速回應,與合作夥伴WalletConnect 一起在40分鐘內更新了NPMJS,以消除和停用惡意程式碼。為了因應此類事件,Ledger 將加強安全控制,並與NPM 配送通路建立安全鏈。他還強調了提高去中心化應用程式(DApps)安全標準的重要性,並支援清晰簽名(clear-signing)而非盲簽名(blind-signing),以減少詐騙風險。此外,Ledger 正與當局合作,並採取一切可能的措施來協助調查,並支持受影響用戶。