TechFlow rapporte que Yu Xian, fondateur de SlowMist, a publié un message sur la plateforme X concernant l'incident de vulnérabilité du Ledger Connect Kit, indiquant que les projets doivent actuellement prêter attention aux points suivants :
1. Le module compromis de Ledger sur la plateforme npmjs a été publié après que le compte npmjs d'un ancien employé ait été piraté par phishing, permettant ainsi à l'attaquant de publier librement des versions malveillantes du module.
2. Une fois publié, le module est automatiquement mis à jour sur le CDN jsDelivr.
3. Le Connect Kit de Ledger intègre directement les fichiers JavaScript provenant du CDN jsDelivr de manière très brutale, sans hachage de fichier ni restriction stricte de version.
4. Il est inquiétant qu’un ancien employé conserve encore un accès aussi critique ; les mécanismes internes de gestion de sécurité doivent être renforcés. Selon le principe de précaution, il faut se demander si une action malveillante interne pourrait être efficacement évitée et rapidement détectée.
5. Attention : bien que les versions compromises du module Ledger sur npmjs aient été supprimées, des fichiers JavaScript malveillants restent actuellement accessibles sur jsDelivr.
Ces recommandations de sécurité peuvent servir d'exemple aux autres projets. Ne soyez pas négligents : chaque incident de sécurité est une opportunité de revoir et améliorer ses propres pratiques.
Dédié à des analyses Web3 approfondies
Je veux contribuer
Demande de reportage
Avertissement : tout le contenu de ce site ne constitue pas un conseil en investissement et aucun service de signal ou d’incitation au trading n’est fourni. Conformément à l’avis des dix ministères, dont la Banque populaire de Chine, sur la prévention des risques liés au trading de cryptomonnaies, veuillez rester vigilants face aux risques. Contact : [email protected] ICP n° 琼ICP备2022009338号




