最近有报道称著名钱包公司 Ledger 发生了一起安全漏洞事件。该公司已确认该漏洞是一起孤立事件,并已采取措施加强其安全系统。这一事件提醒人们,数字世界的安全性并非静止不变,必须不断改进。
揭示事件
漏洞发生在一名前 Ledger 员工成为网络钓鱼攻击的受害者,导致恶意文件被上传到 Ledger 的 NPMJS,这是一个共享的 JavaScript 代码包管理器。这一不幸事件凸显了数字时代特别是加密货币行业对警惕性和强大安全措施的重要性。
迅速响应和解决
在与 WalletConnect 的合作下,Ledger 能够迅速应对漏洞。在发现后 40 分钟内,NPMJS 上的恶意代码已被停用和清除。这一迅速响应展示了 Ledger 保护用户和维护平台完整性的承诺。
事件发生后,Ledger 在 12 月 14 日发布了 Connect Kit 版本 1.1.8,禁用了 Ledger 和 WalletConnect 中的有害代码。为了进一步保障安全,用户被建议等待 24 小时后清除浏览器缓存。
加强安全措施
Ledger 的董事长兼首席执行官 Pascal Gauthier 透露,公司已经建立严格的程序来防范此类事件。这些包括多方代码审查和严格的访问控制。员工离开公司后,他们对 Ledger 系统的访问立即被撤销。
在事件发生后,Ledger 承诺实施更加强有力的安全控制。其中包括将他们的构建流程(build pipeline)与 NPM 发行渠道连接,以强制执行严格的软件供应链安全措施。
作为他们对安全的持续承诺的一部分,Ledger 正在积极配合当局,并将继续协助任何调查。他们还与受影响的用户密切合作,追踪资金并确保责任方面临法律后果。
对于那些希望追踪加密资产并了解安全动态的人来说,cryptoview.io 应用是一个可靠的工具。它为用户提供了对其加密投资组合和加密世界最新消息的全面视图。
