Компания Ledger, выпускающая аппаратные криптовалютные кошельки, озвучила сумму ущерба в результате последней атаки на сервисы компании. Пользователи кошельков потеряли $600 000.
Компания пообещала полностью возместить ущерб пострадавшим клиентам. Процесс взял под контроль генеральный директор Ledger Паскаль Готье.
Об инциденте в сфере безопасности стало известно на прошло неделе, 14 декабря. Код сервиса авторизации через криптокошелек Ledger, который широко применяется в децентрализованных приложениях (dApp), подвергся атаке. У бывшего сотрудника Ledger угнали аккаунт в сервисе NPMJS при помощи фишинговой атаки.
С 12:49 по 14:37 МСК хакер опубликовал вредоносную версию библиотеки Ledger Connect Kit. Это решение с открытым исходным кодом, с помощью которого разработчики dapps подключают приложения к оборудованию Ledger. DeFi-платформы автоматически подхватили обновленное ПО.
Компания Ledger заявила, что ей удалось устранить вредоносный код, но в течение двух часов он влиял на большинство популярных децентрализованных криптосервисов, таких как Curve, SushiSwap, Zapper и Revoke.cash.
Уязвимость не касалась программного обеспечения аппаратных криптокошельков от Ledger, но при использовании сервиса LedgerConnect для входа в dApp в них запускался вредоносный код. Администраторы известных платформ подтвердили проблему, временно отключили онлайн-интерфейс на своих сайтах и рекомендовали пользователям воздержаться от использования любых Web3-приложений, пока ситуация не будет разрешена.
▼
Самые интересные и важные новости на нашем канале в Telegram