Ledger: 一家知名的加密货币硬件钱包公司,针对最近的一次安全漏洞向客户发布了重要更新。以下是对事件时间线和持续措施的全面总结:
客户最终时间线和更新:
- 中欧时间下午4:49: Ledger已开始推广真正的Ledger Connect Kit 1.1.8版本。建议用户等待24小时后再次使用Ledger Connect Kit。
调查的关键点:
- 网络钓鱼攻击: 一名前Ledger员工成为网络钓鱼攻击的受害者,其NPMJS账户被侵入。
- 发布恶意版本: 攻击者发布了恶意的Ledger Connect Kit版本(1.1.5、1.1.6和1.1.7),通过一个假冒的WalletConnect项目将资金重定向到黑客钱包。
- 快速响应: Ledger的技术和安全团队在意识到问题后40分钟内部署了修复程序。恶意文件活动了大约5小时,但被认为资金处于风险的关键时段不到两小时。
- 合作与减缓: Ledger与WalletConnect合作,禁用了假冒项目。现在已经可以使用新的、安全的Ledger Connect Kit 1.1.8版本。
- 开发者安全措施: NPM上的connect-kit开发团队目前为只读模式,出于安全原因,不能直接推送NPM包。
- 内部安全更新: Ledger已更换其在GitHub上发布的秘密。
- 开发者通知: 呼吁开发者确保使用的是最新版本,1.1.8。
- 追踪和冻结资金: Ledger与WalletConnect及其合作伙伴报告了黑客的钱包地址。该地址现已在Chainalysis上可见,Tether已冻结黑客的USDT。
- 安全提醒: Ledger提醒用户始终使用Clear Sign。对于盲签名,建议使用额外的Ledger mint钱包,或者用户应手动解析交易。
- 客户支持: Ledger正在与受影响的客户直接沟通,并积极提供支持。
- 法律行动和调查: 已提交正式投诉,Ledger正在与执法部门合作追踪攻击者。
- 研究漏洞: 正在研究漏洞以防止未来的攻击。攻击者的疑似地址为0x658729879fca881d9526480b82ae00efc54b5c2d。
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
— Ledger (@Ledger) December 14, 2023
Ledger对WalletConnect、Tether、Chainalysis及更广泛社区在解决此问题中的协助表示感谢。这一事件了解到加密货币生态系统内集体安全努力的重要性。
