في ضوء اختراق Ledger الأخير، قال باسكال غوتييه، رئيس مجلس الإدارة والرئيس التنفيذي لبروتوكول التمويل اللامركزي (DeFi)، أصدر تحديثا جديدا.
تم الاعتراف باختراق دفتر الأستاذ وشرحه
بدأ بالاعتراف استغلال الأخيرة wوالتي تنطوي على حقن تعليمات برمجية ضارة في مكتبة جافا سكريبت. لقد أثر في الغالب على الإصدارات الأكبر من 1.1.4، أي الإصدارات 1.1.5 و1.1.6 و1.1.7. وأوضح أن الاختراق جاء نتيجة ثغرة استغلها الفاعل السيئ.
<!–
adClient.showBannerAd({
adUnitId: “34683725-0f88-4d49-ac24-81fc2fb7de8b”,
معرف الحاوية: "إعلان بانر الخاص بي"
})؛
->
وقع موظف سابق ضحية لهجوم تصيد أتاح في النهاية لممثل سيء إمكانية الوصول لتحميل ملف ضار إلى NPMJS الخاص بـ Ledger. يعد NPMJS مدير حزم لرمز Javascript المشترك بين التطبيقات. تحركت ليدجر على الفور لإنقاذ الموقف بدعم من شريكها WalletConnect. تمت إزالة NPMJS على الفور وتم تعطيل الملف الضار على الفور.
حدث كل هذا في غضون أربعين دقيقة من اكتشاف الثغرة. وسلط غوتييه الضوء على التحالف باعتباره مرجعًا جيدًا للصناعة التي تعمل معًا بسرعة لمعالجة التحديات الأمنية التي ابتليت بها النظام البيئي.
لقد انتهى الخوف من استغلال القراصنة
في العادة، لا يتمتع أي شخص بمفرده بالسلطة الوحيدة لنشر الرموز على ConnectKit الخاص بـ Ledger لأنه سيطلب من بعض الأطراف الأخرى مراجعة المعاملة. وفي الوقت نفسه، أوضح غوتييه أن كل موظف يغادر الشركة في أي وقت ولأي سبب كان، سيتم دائمًا إلغاء وصوله إلى أنظمة دفتر الأستاذ على الفور.
مقالات مقترحة
قبل الخروج من الشركة، يتم منح الموظفين إمكانية الوصول إلى الضوابط والمراجعات الداخلية ورمز التوقيع المتعدد بشكل خاص، حيث يتعلق الأمر بمعظم أجزاء تطوير Ledger. وهذا سائد في 90٪ من تطوير الشركة. اقترح غوتييه أن بروتوكول التمويل اللامركزي (DeFi) قد تشرب في السابق استراتيجيات أمنية لحماية المستثمرين.
ومع ذلك، فإن الهجوم الأخير هو دليل واضح وتذكير بأن الأمن ليس ثابتًا. لذلك، "يجب على Ledger تحسين أنظمة وعمليات الأمان لدينا بشكل مستمر. في هذا المجال، ستقوم ليدجر بتنفيذ ضوابط أمنية أقوى، وربط خط أنابيب البناء الخاص بنا الذي ينفذ أمانًا صارمًا لسلسلة توريد البرامج بقناة توزيع NPM.
تم إصدار إصدار جديد من Ledger Connect Kit أدخلت ويُنصح المستخدمون الذين يعتزمون الاستمرار في استخدام الأداة بالترقية إلى هذا الإصدار. بمجرد تثبيت الإصدار 1.1.8 من Ledger Connect Kit، قد يضطر المستخدمون إلى الانتظار لمدة تصل إلى 24 ساعة قبل التنشيط. حتى الآن، يبدو الأمر جيدًا، وقد أكد غوتييه للمستخدمين أن الوضع الآن تحت السيطرة وأن "التهديد قد انتهى".
<!–
->
<!–
->
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://coingape.com/ledger-ceo-on-hacking-incident-the-threat-has-passed/
