حمله لجر نشان میدهد که شرکت پس از چندین نقض، «هیچ چیزی یاد نگرفته است»: توسعهدهنده ENS
اعضای انجمن کریپتو پاسخ های خود را به سوء استفاده Ledger Connect Kit ارسال کرده اند که بر چندین برنامه غیرمتمرکز (DApps) تأثیر می گذارد ) در فضای Web3.
در 14 دسامبر، یک هکر به نمای جلو چندین DApp با استفاده از رابط Ledger. این سوءاستفادهکننده برنامههای اصلی مانند SushiSwap، Phantom و Revoke.cash را زیر پا گذاشته و حداقل 484000 دلار دزدیده است. /a> در دارایی های دیجیتال.
Ledger اعلام کرد که سه ساعت پس از گزارش های اولیه در مورد حمله، مشکل را برطرف کرده است. مدیر عامل شرکت، پاسکال گوتیه، گفت که این یک حادثه مجزا بود و اشاره کرد که آنها با آژانس های مجری قانون مربوطه کار می کنند تا هکر را پیدا کنند و آنها را به دست عدالت بسپارند.
در حالی که لجر ادعا می کند این یک رویداد مجزا بوده است، Linea، مجموعه ای با دانش صفر توسط Consensys، به کاربران Web3 هشدار داد که این آسیب پذیری می تواند کل ماشین مجازی اتریوم (EVM) را تحت تاثیر قرار دهد. ) اکوسیستم.
یک روز پس از حادثه، اعضای انجمن به X (توئیتر) رفتند تا احساسات خود را در مورد حادثه لجر بیان کنند. برخی به دنبال کنندگان توصیه کردند از دیگر پلتفرم های کیف پول استفاده کنند، در حالی که برخی دیگر از لجر خواستند همه چیز را منبع باز کند.
امنیت Ledger توضیح داده شد pic.twitter.com/6hTeXYVWco
— Crypto PM (@CryptoPM_) 15 دسامبر 2023
در 15 دسامبر، براد میلز، حامی بیت کوین (BTC) به او گفت دنبال کنندگان X برای استفاده از سخت افزار فقط بیت کوین ساخته شده توسط مهندسان بیت کوین که بر امنیت بیت کوین متمرکز شده اند. میلز از اعضای انجمن خواست هرگز دوستان خود را با کیف پول سخت افزاری Ledger وارد BTC نکنند. یا Trezor.
در سال 2020، حادثه دیگری در لجر منجر به نشت اطلاعات کاربر مانند آدرس های پستی، شماره تلفن و آدرس های ایمیل. نیک جانسون، توسعهدهنده سرویس نام اتریوم، با اشاره به نقضهای قبلی لجر، در پستی گفت که هیچکس نباید سختافزار خود را توصیه کند یا از کتابخانههای خود استفاده کند.
بسیار خوب، پس واضح است که @Ledger چیزی در مورد opsec از چندین مورد یاد نگرفته است نقض ها در این مرحله فکر نمیکنم کسی با وجدان خوب سختافزار خود را توصیه کند یا از کتابخانههای خود استفاده کند.
— nick.eth (@nicksdjohnson) 15 دسامبر 2023
براساس به جانسون، لجر بیتوجهی مداوم به امنیت عملیاتی نشان داد و دیگر مستحق «منافع تردید در بهبود آنها نیست». >برنامههای غیرمتمرکز Ledger Connect را بهعنوان رفع اکسپلویت مستقر میکنند
در همین حال، کریلین تاجر و تحلیلگر رمزارز لجر را مورد انتقاد قرار داد و آنها را به خاطر صرف یک روز صرف حذف نظرات منفی زیر پست هایشان در X فراخواند.
در طول هک در 14 دسامبر، مهاجم از یک سوء استفاده فیشینگ برای دسترسی به رایانه استفاده کرد کارمند سابق لجر به حساب جاوا اسکریپت مدیر بسته گره کارمند دسترسی پیدا کرد که منجر به نقض شد.
به دنبال هک، یکی از اعضای انجمن به لجر توصیه کرد همه چیز را “منبع باز” کند و اجازه دهد جامعه “جراح” آنها باشد تا آنها را دوباره به هم بپیچد. این شرکت در 24 می اعلام کرد که منبع باز است. بسیاری از برنامههای کاربردی آن و متعهد است که کدهای بیشتری را به صورت منبع باز ارائه کند.
به گفته اعضای جامعه، شفافیت یک تجمل نیست، بلکه یک راه نجات است. “اعتماد، زمانی که از دست برود، نیازمند رگ های باز است، نه وعده های پنهان.”
مجله. : ‘Account abstraction’ کیف پول های اتریوم را شارژ می کند: راهنمای ساختگی