Giám đốc điều hành Ledger Pascal Gauthier đã giải quyết vụ hack ngày 14 tháng 12 về vụ hack nhà cung cấp ví trong một bài đăng trên blog của công ty. Ông cho biết vụ hack thư viện trình kết nối Javascript của Ledger là một “sự cố riêng lẻ” và hứa hẹn sẽ kiểm soát an ninh chặt chẽ hơn.

Gauthier cho biết, quá trình khai thác diễn ra trong chưa đầy hai giờ và bị vô hiệu hóa trong vòng 40 phút kể từ khi phát hiện và bị giới hạn ở các ứng dụng phi tập trung (DApps) của bên thứ ba. Ông nói, điều đó đã được thực hiện sau khi một nhân viên cũ trở thành nạn nhân của một vụ lừa đảo lừa đảo. Danh tính của nhân viên đó được cho là đã bị bỏ lại trong đoạn mã bị tấn công. Phần cứng sổ cái và nền tảng Ledger Live không bị ảnh hưởng. Hơn nữa:

“Thông lệ tiêu chuẩn tại Ledger là không một cá nhân nào có thể triển khai mã mà không được nhiều bên xem xét. Chúng tôi có các biện pháp kiểm soát quyền truy cập mạnh mẽ, đánh giá nội bộ và mã đa chữ ký khi nói đến hầu hết các phần trong quá trình phát triển của chúng tôi. Đây là trường hợp xảy ra ở 99% hệ thống nội bộ của chúng tôi. Bất kỳ nhân viên nào rời khỏi công ty đều bị thu hồi quyền truy cập vào mọi hệ thống Sổ cái.”

Gauthier tiếp tục gọi vụ hack là “một sự cố cá biệt đáng tiếc”. Anh ấy đã hứa rằng trong tương lai:

“Ledger sẽ triển khai các biện pháp kiểm soát bảo mật mạnh mẽ hơn, kết nối quy trình xây dựng của chúng tôi nhằm triển khai bảo mật chuỗi cung ứng phần mềm nghiêm ngặt với kênh phân phối NPM.”

Gauthier cho biết thêm, một vụ hack kiểu này có thể xảy ra với những người khác. Ông cho biết Ledger Connect Kit 1.1.8 an toàn và sẵn sàng để sử dụng. Ganthier cảm ơn WalletConnect, Tether, Chainalysis và ZachXBT đã hỗ trợ.

Quy mô của vụ hack ban đầu được ước tính là 484.000 USD , nhưng dịch vụ bảo mật Web3 Blockaid sau đó nói với Cointelegraph rằng số tiền đã tăng lên 504.000 USD vào lúc 8 giờ tối theo giờ UTC. Công ty cho biết thêm, vụ hack có thể ảnh hưởng đến bất kỳ người dùng Máy ảo Ethereum nào tương tác với DApp bị ảnh hưởng.