حمله لجر نشان می‌دهد که شرکت پس از چندین نقض، «هیچ چیزی یاد نگرفته است»: توسعه‌دهنده ENS

اعضای انجمن کریپتو پاسخ های خود را به سوء استفاده Ledger Connect Kit ارسال کرده اند که بر چندین برنامه غیرمتمرکز (DApps) تأثیر می گذارد ) در فضای Web3.

در 14 دسامبر، یک هکر به نمای جلو چندین DApp با استفاده از رابط Ledger. این سوءاستفاده‌کننده برنامه‌های اصلی مانند SushiSwap، Phantom و Revoke.cash را زیر پا گذاشته و حداقل 484000 دلار دزدیده است. /a> در دارایی های دیجیتال.

Ledger اعلام کرد که سه ساعت پس از گزارش های اولیه در مورد حمله، مشکل را برطرف کرده است. مدیر عامل شرکت، پاسکال گوتیه، گفت که این یک حادثه مجزا بود و اشاره کرد که آنها با آژانس های مجری قانون مربوطه کار می کنند تا هکر را پیدا کنند و آنها را به دست عدالت بسپارند.

در حالی که لجر ادعا می کند این یک رویداد مجزا بوده است، Linea، مجموعه ای با دانش صفر توسط Consensys، به کاربران Web3 هشدار داد که این آسیب پذیری می تواند کل ماشین مجازی اتریوم (EVM) را تحت تاثیر قرار دهد. ) اکوسیستم.

یک روز پس از حادثه، اعضای انجمن به X (توئیتر) رفتند تا احساسات خود را در مورد حادثه لجر بیان کنند. برخی به دنبال کنندگان توصیه کردند از دیگر پلتفرم های کیف پول استفاده کنند، در حالی که برخی دیگر از لجر خواستند همه چیز را منبع باز کند.

امنیت Ledger توضیح داده شد pic.twitter.com/6hTeXYVWco

— Crypto PM (@CryptoPM_) 15 دسامبر 2023

در 15 دسامبر، براد میلز، حامی بیت کوین (BTC) به او گفت دنبال کنندگان X برای استفاده از سخت افزار فقط بیت کوین ساخته شده توسط مهندسان بیت کوین که بر امنیت بیت کوین متمرکز شده اند. میلز از اعضای انجمن خواست هرگز دوستان خود را با کیف پول سخت افزاری Ledger وارد BTC نکنند. یا Trezor.

در سال 2020، حادثه دیگری در لجر منجر به نشت اطلاعات کاربر مانند آدرس های پستی، شماره تلفن و آدرس های ایمیل. نیک جانسون، توسعه‌دهنده سرویس نام اتریوم، با اشاره به نقض‌های قبلی لجر، در پستی گفت که هیچ‌کس نباید سخت‌افزار خود را توصیه کند یا از کتابخانه‌های خود استفاده کند.

بسیار خوب، پس واضح است که @Ledger چیزی در مورد opsec از چندین مورد یاد نگرفته است نقض ها در این مرحله فکر نمی‌کنم کسی با وجدان خوب سخت‌افزار خود را توصیه کند یا از کتابخانه‌های خود استفاده کند.

— nick.eth (@nicksdjohnson) 15 دسامبر 2023

براساس به جانسون، لجر بی‌توجهی مداوم به امنیت عملیاتی نشان داد و دیگر مستحق «منافع تردید در بهبود آنها نیست». >برنامه‌های غیرمتمرکز Ledger Connect را به‌عنوان رفع اکسپلویت مستقر می‌کنند

در همین حال، کریلین تاجر و تحلیلگر رمزارز لجر را مورد انتقاد قرار داد و آنها را به خاطر صرف یک روز صرف حذف نظرات منفی زیر پست هایشان در X فراخواند.

در طول هک در 14 دسامبر، مهاجم از یک سوء استفاده فیشینگ برای دسترسی به رایانه استفاده کرد کارمند سابق لجر به حساب جاوا اسکریپت مدیر بسته گره کارمند دسترسی پیدا کرد که منجر به نقض شد.

به دنبال هک، یکی از اعضای انجمن به لجر توصیه کرد همه چیز را “منبع باز” کند و اجازه دهد جامعه “جراح” آنها باشد تا آنها را دوباره به هم بپیچد. این شرکت در 24 می اعلام کرد که منبع باز است. بسیاری از برنامه‌های کاربردی آن و متعهد است که کدهای بیشتری را به صورت منبع باز ارائه کند.

به گفته اعضای جامعه، شفافیت یک تجمل نیست، بلکه یک راه نجات است. “اعتماد، زمانی که از دست برود، نیازمند رگ های باز است، نه وعده های پنهان.”

مجله. : ‘Account abstraction’ کیف پول های اتریوم را شارژ می کند: راهنمای ساختگی