TechFlow 소식, 레저(Ledger)의 회장이자 최고경영자인 파스칼 고티에(Pascal Gauthier)가 Ledger Connect Kit의 보안 취약성과 관련하여 공개 서한을 발표했다.
지난 12월 14일, 레저는 웹사이트를 지갑에 연결하기 위한 자바스크립트 라이브러리인 Ledger Connect Kit에서 발생한 보안 취약점을 악용당했다. 이에 레저는 협력사와 함께 해당 취약점을 신속히 제거하고 유출된 자금을 얼리기 위해 조치를 취했으며, 실제로 이 취약점은 2시간 미만 동안 작동했다. 이번 사고는 Ledger Connect Kit를 사용하는 제3자 DApp에 한정되어 있으며, 현재 조사가 진행 중이다. 레저는 이미 공식적으로 민원을 제기했으며, 피해를 입은 개인들을 지원해 자금 회수를 시도할 예정이다. 또한 레저는 영향을 받은 사용자를 지원하고 공격자를 추적해 법의 심판을 받도록 하며, 자금 흐름을 추적하고 집행 기관과 협력해 해커로부터 도난된 자산을 되찾는 데 적극 나설 계획이다.
그는 "보안은 정적인 것이 아니라 지속적으로 발전해야 한다"며, "레저는 자체 보안 시스템과 프로세스를 계속해서 개선해 나가야 한다"고 밝혔다. 또한 레저는 보다 엄격한 보안 통제를 시행하고, NPM 배포 채널로 연결되는 소프트웨어 공급망의 보안을 강화하기 위해 빌드 파이프라인을 더욱 철저히 관리할 예정이라고 전했다.




