O CEO da Ledger, Pascal Gauthier, se manifestou sobre o hack que teve como alvo o provedor de carteiras em uma postagem no blog da empresa publicada em 14 de dezembro, mesmo dia em que o incidente ocorreu. Ele disse que a invasão da biblioteca de conectores Javascript da Ledger foi um "incidente isolado" e prometeu um controle de segurança mais forte daqui para frente.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
Meu compromisso pessoal: A Ledger dedicará o máximo possível de recursos internos e externos para ajudar as pessoas afetadas a recuperar seus ativos.
— Pascal Gauthier @Ledger (@_pgauthier)
A exploração mateve-se ativa por menos de duas horas e foi desativada 40 minutos após ter sido descoberta, limitando-se a aplicativos descentralizados (DApps) de terceiros, disse Gauthier. A violação ocorreu depois que um ex-funcionário da empresa foi vítima de um esquema de phishing, explicou. As credenciais desse funcionário teriam sido mantidas no código hackeado. O hardware da Ledger e a plataforma Ledger Live não foram afetados. Além disso:
"A prática padrão na Ledger é que nenhuma pessoa pode implantar um código sem a revisão de várias partes. Temos fortes controles de acesso, revisões internas e assinaturas múltiplas de código quando se trata da maior parte do nosso desenvolvimento. Esse é o caso de 99% de nossos sistemas internos. Qualquer funcionário que deixa a empresa tem seu acesso revogado em todos os sistemas da Ledger."
Gauthier continuou chamando o hack de "um infeliz incidente isolado". Ele prometeu que daqui para frente:
"A Ledger implementará controles de segurança mais fortes, conectando nosso pipeline de construção que implementa segurança rigorosa desde a cadeia de suprimentos de software ao canal de distribuição NPM."
Um hack desse tipo poderia acontecer com outras pessoas, acrescentou Gauthier. O Ledger Connect Kit 1.1.8 é seguro e está pronto para ser usado, disse ele. Ganthier agradeceu a WalletConnect, a Tether, a Chainalysis e a ZachXBT pela assistência.
O hack foi originalmente estimado em US$ 484.000, mas o serviço de segurança da Web3, Blockaid, disse mais tarde ao Cointelegraph que a soma havia aumentado para US$ 504.000 às 20:00 UTC. O hack pode ter afetado qualquer usuário da Ethereum Virtual Machine (EVM) que tenha interagido com os DApps afetados, acrescentou a empresa.
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023
Aqui está uma lista de dapps que podem ser afetados pelo hack da @ledger! Não interaja de forma alguma com DEFI hoje! Nenhum aplicativo está seguro, independentemente de você usar uma Ledger ou não.
— Ran Neuner (@cryptomanran)
LEIA MAIS