Blockworksによると、Ledger社のCEOであるPascal Gauthier氏は木曜日の投稿で、同社のLedger ConnectKitに対するサプライチェーン攻撃について言及した。ゴティエ氏は、Ledger社の標準的な慣行として、複数の関係者によるレビューなしに一人でコードを展開することはできず、開発のほとんどの部分で強力なアクセス制御、内部レビュー、マルチシグネチャコードが実施されていると述べた。しかし木曜日の朝、元従業員がフィッシング攻撃の対象となり、ハッカーにLedgerのパッケージ・マネージャーへのアクセス権を与えてしまった。この従業員がどのようにしてシステムへのアクセス権を維持したのかはまだ不明である。
ゴーティエ氏は、今回の事件は不幸な孤立した出来事であるとし、セキュリティ・システムとプロセスの継続的改善の必要性を強調した。Ledger社は、より厳格なソフトウェア・サプライチェーン・セキュリティのために、ビルド・パイプラインをNPM流通チャネルに接続し、より強力なセキュリティ管理を実施する計画だ。さらにLedgerは、ブラウザベースの署名を可能にするDappsのセキュリティを強化する予定だ。
このインシデントは木曜日の朝に分散型取引所SushiSwapによって最初に報告され、警告後にフロントエンドのウェブアプリをオフラインにし、ユーザーに予期しない「Connect Wallet」のポップアップに関わらないように助言した。サイバーセキュリティ企業BlockAidによると、Revoke.cashも影響を受けたという。Ledgerは純正のConnectKitを導入し、WalletConnectと協力して発見から40分以内に悪質なコードを削除した。悪用は約5時間有効だった。
Tetherのパオロ・アルドイノCEOは、攻撃者のアドレスが凍結されたと投稿した。Gauthier氏は、Ledgerは当局と協力し、捜査に協力し、影響を受けたユーザーをサポートし、悪質な行為者を見つけ、裁判にかけ、資金を追跡し、法執行機関と協力してハッカーから盗まれた資産を回収するために全力を尽くしていると述べた。
Cointelegraph