Ledger CEO发表公开信详细介绍Ledger Connect Kit被利用问题的具体情况

PANews 12月15日消息，Ledger 董事长兼首席执行官 Pascal Gauthier 在一份公开信中通报了关于 Ledger Connect Kit 被利用的情况。关键要点如下：2023年12月14日，Ledger 面临其 Ledger Connect Kit 的利用问题。Ledger Connect Kit 是一个 JavaScript 库，用于将网站连接到加密货币钱包。Ledger 与行业合作伙伴迅速协作，以中和这次利用并尝试快速冻结被盗资金。该事件持续不到两小时。目前该事件正在调查中。Ledger 已提交了相关投诉，并将努力帮助受影响者恢复资金。该事件并未影响 Ledger 实体钱包和 Ledger Live 的安全性。利用限于使用 Ledger Connect Kit 的第三方去中心化应用。 Gauthier 说明，此次事件是由于一名前员工遭受网络钓鱼攻击，导致恶意行为者在 Ledger 的 NPMJS（JavaScript 代码的包管理器）上上传了恶意文件。Ledger 迅速响应，与合作伙伴 WalletConnect 一起在40分钟内更新了 NPMJS，以消除和禁用恶意代码。为了应对此类事件，Ledger 将加强安全控制，与 NPM 配送渠道建立安全链。他还强调了提高去中心化应用（DApps）安全标准的重要性，并支持清晰签名（clear-signing）而非盲签名（blind-signing），以减少欺诈风险。此外，Ledger 正与当局合作，并采取一切可能的措施来协助调查，并支持受影响用户。