TechFlow, Ledger a publié une lettre ouverte de Pascal Gauthier, président-directeur général de Ledger, concernant la vulnérabilité découverte dans Ledger Connect Kit.
Le 14 décembre, Ledger a été victime d'une exploitation de vulnérabilité sur Ledger Connect Kit (une bibliothèque JavaScript permettant de connecter des sites web à des portefeuilles). Ledger a collaboré avec ses partenaires pour éliminer cette faille et tenté de geler rapidement les fonds volés. La vulnérabilité a effectivement fonctionné pendant moins de deux heures. Elle était limitée aux DApp tiers utilisant Ledger Connect Kit. Une enquête est actuellement en cours. Ledger a déposé une plainte et aidera les personnes affectées à tenter de récupérer leurs fonds. Ledger soutiendra les utilisateurs touchés, aidera à identifier les attaquants et à les traduire en justice, suivra le parcours des fonds et coopérera avec les autorités afin de contribuer au recouvrement des actifs détournés.
Il a ajouté : « La sécurité n'est pas statique ; Ledger doit continuellement améliorer ses systèmes et processus de sécurité. Ledger mettra en œuvre des contrôles de sécurité renforcés et durcira le pipeline de construction lié au canal de distribution NPM, en garantissant la sécurité de la chaîne d'approvisionnement logicielle. »




