TechFlowの報道によると、SlowMistの創業者であるコサイン氏がXプラットフォームで投稿し、Ledger Connect Kitの脆弱性事件に関してプロジェクト側が注意すべき点を指摘した。
1. Ledgerが攻撃を受けたモジュールはnpmjsプラットフォーム上にあり、元従業員のnpmjsアカウントがフィッシングにより乗っ取られた結果、攻撃者は自由に悪意のあるモジュールバージョンをリリースできた。
2. リリースされたモジュールは自動的にjsDelivr CDNにも更新される。
3. LedgerのConnect KitはjsDelivr CDNのjsファイルを直接読み込んでおり、非常に乱暴な方法であり、ファイルハッシュのバインディングがなく、バージョンの導入も厳密に制限されていない。
4. 元従業員が依然としてこれほど重要な権限を持ち続けていたことから、内部のセキュリティ管理体制を強化する必要がある。最悪の場合を想定し、内部からの悪意ある行為を有効に防止し、早期に発見できる仕組みが必要だ。
5. 注意すべき点として、Ledgerのnpmjs上で悪意のあるバージョンはすでに削除されたが、現時点でもjsDelivr上にはまだ悪意のあるjsファイルが残っている。
これらのセキュリティ上の助言は他のプロジェクトにとって参考となる。手を抜かず、毎回のセキュリティ事故を自らを見直す好機とすべきである。
Web3業界の深掘り報道に専念し潮流を洞察
投稿したい
取材依頼
リスク提示:本サイトのすべての内容は投資助言ではなく、いかなるシグナル配信・取引勧誘サービスも行いません。中国人民銀行など十部委の「仮想通貨取引投機リスクの防止と処置に関する通知」に基づき、リスク意識の向上をお願いいたします。お問い合わせ / [email protected] 琼ICP备2022009338号




