フランスの仮想通貨ハードウェアウォレットメーカー、レジャーのパスカル・ゴティエCEOは、12月14日に同社がハッキング被害を受けたことを発表した。
ゴティエ氏によると、ハッキングはレジャーのJavaScriptコネクタライブラリを狙ったもので、「孤立した事件」であり、今後より強固なセキュリティ対策を実施すると述べた。
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
ゴティエ氏によると、攻撃は2時間未満で実行され、発見から40分以内に無効化された。また、サードパーティのDAppsに限定されていたという。攻撃は元従業員がフィッシング詐欺の被害に遭ったことで発生。その従業員のIDはハッキングされたコードの中に残されていたと。レジャーのハードウェアとレジャー・ライブプラットフォームには影響はなかったと主張した。
「レジャーでは、複数の関係者によるレビューなしに一人の人間がコードをデプロイすることはできない。私たちは、開発のほとんどの部分に関して、強力なアクセス制御、内部レビュー、コードのマルチシグを実施している。これは社内システムの99%に当てはまる。退社する社員は、すべてのレジャーシステムからアクセス権を剥奪される。」
ゴティエ氏は、ハッキングを「不幸な孤立した事件」と呼び、次のように約束した。
「レジャーは、厳格なソフトウェアサプライチェーンセキュリティを実装するビルドパイプラインをNPM配布チャネルに接続するなど、より強固なセキュリティ対策を実施する」
ゴティエ氏は、この種のハッキングは他の企業にも起こり得ると指摘。Ledger Connect Kit 1.1.8は安全で使用可能であると述べた。また、WalletConnect、Tether、Chainalysis、zachxbtに支援を感謝した。
ハッキング被害額は当初48万4000ドルと推定されていたが、Web3セキュリティサービスBlockaidによると、20時(UTC時間)までに50万4000ドルに増加。同社によると、ハッキングは、影響を受けたDAppsとやり取りしたすべてのEVMユーザーに影響を与える可能性がある
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023