近日,加密货币硬件钱包巨头Ledger遭遇了一次影响广泛的安全事件。公司首席执行官兼董事长Pascal Gauthier于2023年12月14日在公司官方博客及社交媒体上公开发表声明,针对这次针对Ledger Javascript连接库的黑客攻击事件做出解释和回应。Gauthier强调,此次安全漏洞属于"孤立事件",并非系统本身存在根本性缺陷。尽管此次攻击影响了部分去中心化应用程序(DApps),但Ledger硬件钱包及其主流管理平台Ledger Live并未受到波及。此次事件的快速处置也展示了Ledger应对安全风险的能力和责任心。 根据Ledger官方的说明,攻击源自对其Javascript连接库的滥用,攻击持续时间不足两小时,且在发现后40分钟内被终止。
据悉,黑客入侵得以实现,是由于一名前Ledger员工在面对钓鱼攻击时不慎泄露了身份信息,该信息被遗留在被攻击的代码中。Ledger表示,公司在代码部署流程中采取了严格的多方审核机制,并且通常不会允许单一员工拥有自行发布代码的权限。此外,任何离职员工的访问权限都会被即时撤销,以此降低内部风险。此次漏洞属于极少数未遵循这些标准流程的特殊情况。 Gauthier在声明中表示,类似的供应链攻击可能发生在其他企业或平台,Ledger将以此次事件为警示,提升安全建设力度。未来,公司计划在构建和发布流程中进一步强化供应链安全管理,通过更加严密的访问权限控制、多签名代码审核等措施,防范潜在风险。
与此同时,Ledger正在与执法机构密切合作,努力追查攻击者身份,将其绳之以法。此外,Ledger还感谢相关合作伙伴WalletConnect、Tether、Chainalysis以及安全研究员ZachXBT的支持和协助。 此次安全事件的经济损失最初估计为48.4万美元,后续有安全服务机构Blockaid通过进一步调查确认损失金额已升至50.4万美元。受攻击影响的用户主要为以太坊虚拟机(Ethereum Virtual Machine)生态系统内使用相关受影响DApps的用户。重要的是,Ledger硬件钱包和官方管理软件均未发生安全问题,因此建议用户保持警惕但无需恐慌。 此次事件一经曝光,相关社交媒体和加密社区迅速传播警示信息,知名加密分析师Ran Neuner提醒广大用户在事件未完全平息前避免与任何去中心化金融(DeFi)应用交互,强化网络安全意识。
尽管Ledger Connect Kit 1.1.8版本已经确认安全稳固且可正常使用,用户依然被建议保持谨慎操作,做好资产保护。 Ledger作为全球领先的硬件钱包制造商,一直以其高安全标准和用户资金的有效保障受到行业广泛认可。然而随着加密技术和生态的发展,攻击手段也日趋多样化,从软件供应链到钓鱼攻击和社会工程学,安全挑战不断出现。此次事件也凸显了即使是安全设备提供商也不可忽视内部风险和外部威胁的潜在影响。这一经验将促使Ledger及整个行业对安全架构进行持续升级和优化。 对用户而言,安全依赖的不仅是硬件本身,更关键的是安全意识的提升和对使用环境的监管。
用户应避免使用未经验证的第三方DApp,定期更新软件版本,保持警觉对任何异常操作及时做出反应。此外,Ledger此次事件也提醒用户关注官方发布的安全公告,避免因盲目信任而遭受不必要的损失。 综合来看,Ledger此次黑客攻击事件虽然带来了短暂的市场恐慌,但官方反应迅速透明,事后处理得当,信息披露及时公开,为整个区块链安全生态树立了良好的应对范例。Pascal Gauthier代表公司表达了深切的歉意和强烈的责任感,同时宣布将倾注所有资源协助受影响用户资产恢复,展现了企业应对突发安全事件的坚定决心。 未来随着加密生态日益成熟,安全问题无疑将成为行业发展的核心议题。Ledger案例提醒所有从业者在技术建设、人员管理、供应链安全及响应体系上持续发力,才能在激烈竞争和复杂风险中立于不败之地。
用户在享受区块链技术带来的便利与机遇时,也需提高警惕,形成安全自护的良好习惯,共同推动整个行业的健康稳定发展。 。
