Oud-Ledger medewerker slachtoffer van phishing waardoor kwetsbaarheid bootgelegd werd

Inmerion Pascal Gauthier, de voorzitter en CEO van Ledger, bevestigde een kwetsbaarheid in Ledger Connect Kit, een JavaScript-bibliotheek om websites te verbinden met wallets op verschillende DeFi-platforms. In de brief van Gauthier stond dat het incident beperkt was tot toepassingen van derden en benadrukte dat de hardware wallet-producten van Ledger onaangetast bleven.

De standaardpraktijk bij Ledger is dat geen enkele persoon code kan implementeren zonder beoordeling door meerdere partijen. Het bedrijf hanteert normaal gesproken sterke toegangscontroles, interne beoordelingen en code met meerdere handtekeningen. Elke werknemer die het bedrijf verlaat, verliest tevens de toegang tot elk Ledger-systeem.

Echter bevestigde Gauthier dat een voormalige medewerker gehackt was door een oplichter met behulp van phishing. Vervolgens gebruikte deze persoon de gecompromitteerde accounttoegang om een ​​schadelijk WalletConnect-project te publiceren. Dit stelde kwaadwillende actoren in staat om gebruikersfondsen om te leiden.

De exploit op 14 december trof verschillende defi-apps zoals SushiSwap en Revoke.cash, meldde crypto.news.

De recente update van Ledger over het incident bevestigde de observaties die waren gedaan door deelnemers in de cryptogemeenschap op sociale media. Een gebruiker wist een GitHub-account te identificeren dat was gekoppeld aan een voormalige ontwikkelaar van Ledger, Junichi Sugiura. In de verklaring van Gauthier werd de voormalige medewerker echter niet bij naam genoemd.

CTO Paolo Ardoino van Tether meldde dat ze een adres dat aan de hacker was gekoppeld, hadden bevroren. In de tussentijd rapporteerde CertiK ERC-20-transacties die hoogstwaarschijnlijk gelieerd waren aan de persoon die het incident veroorzaakte.

De aanval markeerde de tweede keer in twee maanden dat phishers gebruikmaakten van Ledger om gebruikersfondsen te stelen. In november waarschuwde crypto-onderzoeker ZachXBT gebruikers voor een neppe Ledger Live-app in de officiële Microsoft-app store. De frauduleuze app onttrok Bitcoin (BTC) en Ether (ETH) ter waarde van $768.000.