TechFlow 소식에 따르면, SlowMist 창시자인 유셴(余弦)이 X 플랫폼을 통해 레저(Ledger) Connect Kit의 취약점 사건과 관련해 프로젝트 관계자들이 주의해야 할 사항을 다음과 같이 언급했다.
1. 레저가 오염된 모듈은 npmjs 플랫폼에 있었으며, 전직 직원의 npmjs 계정이 피싱 공격을 당해 해커가 악성 코드가 포함된 모듈 버전을 마음대로 업로드할 수 있었다.
2. 업로드된 모듈은 자동으로 jsDelivr CDN에도 반영된다.
3. 레저의 Connect Kit는 jsDelivr CDN의 JS 파일을 매우 무분별하게 직접 로드하고 있으며, 파일 해시를 바인딩하지 않았고, 버전 제한도 엄격히 두지 않았다.
4. 전직 직원이 여전히 이렇게 중요한 권한을 보유하고 있었다는 점에서 내부 보안 관리 체계를 강화해야 한다. 최악의 상황을 가정하여, 내부자가 악의적 행위를 할 경우 이를 효과적으로 방지하고 신속히 탐지할 수 있는지 점검해야 한다.
5. 참고할 점은, 레저의 npmjs에서 오염된 버전은 이미 삭제되었지만 현재까지도 jsDelivr에는 여전히 악성 JS 파일이 존재한다는 것이다.
이러한 보안 조치들은 다른 프로젝트들이 참고할 수 있도록 제공되며, 결코 게을러서는 안 된다. 모든 보안 사고는 스스로를 되돌아보는 좋은 기회가 된다.
Web3 심층 보도에 집중하고 흐름을 통찰
기고하고 싶어요
보도 요청
위험 고지: 본 사이트의 모든 콘텐츠는 투자 조언이 아니며, 어떠한 매매 신호·거래 유도 서비스도 제공하지 않습니다. 인민은행 등 10개 부처의 「가상화폐 거래·투기 위험 방지 및 처리에 관한 통지」에 따라 투자자 여러분의 리스크 인식을 높이시기 바랍니다. 문의 / [email protected] 琼ICP备2022009338号




