[加密市场分析师]Connect Kit 漏洞引发对 Ledger 的批评

时间：2023-12-21|浏览：241

欧易(OKX)

用戶喜愛的交易所

已有账号登陆后会弹出下载

2023 年 12 月 14 日，Ledger 的 Connect Kit（一个用于钱包连接的 Javascript 库）遭受了重大攻击。

这一事件在两小时内得到控制，引发了对 Ledger 安全实践的许多批评。

Ledger 以其加密安全解决方案和硬件钱包制造而闻名，其 Ledger Connect Kit（一种用于将网站连接到钱包的 Javascript 工具）面临漏洞。

此次泄露事件持续了不到两个小时，并未影响 Ledger 的硬件或 Ledger Live，但仅限于使用 Connect Kit 的第三方去中心化应用程序 (dapp)。

然而，这引发了人们对 Ledger 的软件安全协议的质疑。

加密货币社区的知名人物、比特币安全提供商 Casa 的首席技术官 Jameson Lopp 指出了 Ledger 的三个关键失败：“盲目加载代码而不固定特定版本和校验和，没有在代码审查和验证方面执行‘两人规则’。部署，而不是撤销前员工的访问权限。”

当对前雇员的网络钓鱼攻击导致 Ledger 的 NPMJS 中引入恶意代码时，安全协议中的这些漏洞就导致了漏洞的发生。

Lefteris Karapetsas也批评了莱杰的做法，惊呼道：“你们疯了吗？

为什么你要构建世界上最有安全意识的库来‘从 CDN 加载’以方便用户，而不需要用户等待 dapp 更新？”