フランスの仮想通貨ハードウェアウォレットメーカー、レジャーのパスカル・ゴティエCEOは、12月14日に同社がハッキング被害を受けたことを発表した

ゴティエ氏によると、ハッキングはレジャーのJavaScriptコネクタライブラリを狙ったもので、「孤立した事件」であり、今後より強固なセキュリティ対策を実施すると述べた。

ゴティエ氏によると、攻撃は2時間未満で実行され、発見から40分以内に無効化された。また、サードパーティのDAppsに限定されていたという。攻撃は元従業員がフィッシング詐欺の被害に遭ったことで発生。その従業員のIDはハッキングされたコードの中に残されていたと。レジャーのハードウェアとレジャー・ライブプラットフォームには影響はなかったと主張した。

「レジャーでは、複数の関係者によるレビューなしに一人の人間がコードをデプロイすることはできない。私たちは、開発のほとんどの部分に関して、強力なアクセス制御、内部レビュー、コードのマルチシグを実施している。これは社内システムの99%に当てはまる。退社する社員は、すべてのレジャーシステムからアクセス権を剥奪される。」

ゴティエ氏は、ハッキングを「不幸な孤立した事件」と呼び、次のように約束した。

「レジャーは、厳格なソフトウェアサプライチェーンセキュリティを実装するビルドパイプラインをNPM配布チャネルに接続するなど、より強固なセキュリティ対策を実施する」

ゴティエ氏は、この種のハッキングは他の企業にも起こり得ると指摘。Ledger Connect Kit 1.1.8は安全で使用可能であると述べた。また、WalletConnect、Tether、Chainalysis、zachxbtに支援を感謝した。

ハッキング被害額は当初48万4000ドルと推定されていたが、Web3セキュリティサービスBlockaidによると、20時(UTC時間)までに50万4000ドルに増加。同社によると、ハッキングは、影響を受けたDAppsとやり取りしたすべてのEVMユーザーに影響を与える可能性がある