2 min read

Η Αναταραχή της Ledger: Κοινότητα και Επενδυτές Αντιδρούν στην Τελευταία Επίθεση και Καταγγέλλουν Ελλείψεις στην Ασφάλεια

Η Αναταραχή της Ledger: Κοινότητα και Επενδυτές Αντιδρούν στην Τελευταία Επίθεση και Καταγγέλλουν Ελλείψεις στην Ασφάλεια

Μέλη της κοινότητας κρυπτονομισμάτων μοιράστηκαν τα συναισθήματά τους σχετικά με την εκμετάλλευση του Ledger Connect Kit, η οποία επηρέασε πολλές αποκεντρωμένες εφαρμογές (DApps) σε όλο τον χώρο του Web3.

Στις 14 Δεκεμβρίου, ένας hacker επιτέθηκε στην πρόσοψη πολλαπλών DApps χρησιμοποιώντας τον connector του Ledger. Ο hacker παραβίασε μεγάλες εφαρμογές όπως η SushiSwap, η Phantom και η Revoke.cash και έκλεψε τουλάχιστον $484,000 σε ψηφιακά κεφάλαια.

Η Ledger ανακοίνωσε ότι είχε διορθώσει το πρόβλημα τρεις ώρες μετά την αρχική αναφορά για την επίθεση. Ο CEO της εταιρείας, Pascal Gauthier, δήλωσε ότι πρόκειται για ένα απομονωμένο περιστατικό και σημείωσε ότι συνεργάζονται με τις σχετικές αρχές επιβολής του νόμου για να βρουν τον χάκερ και να τον "οδηγήσουν ενώπιον της δικαιοσύνης."

Ενώ η Ledger υποστηρίζει ότι πρόκειται για ένα απομονωμένο περιστατικό, η Linea, ένα zero-knowledge rollup από την Consensys, προειδοποίησε τους χρήστες του Web3 ότι η ευπάθεια αυτή θα μπορούσε να επηρεάσει ολόκληρο το οικοσύστημα Ethereum Virtual Machine (EVM).

Μια μέρα μετά το περιστατικό, μέλη της κοινότητας αντέδρασαν στο X (Twitter) εκφράζοντας τα συναισθήματά τους για το περιστατικό της Ledger. Ορισμένοι συμβούλευσαν τους ακόλουθους τους να χρησιμοποιούν άλλες πλατφόρμες πορτοφολιών, ενώ άλλοι κάλεσαν την Ledger να κάνει open-source όλα τα δικά της.

Ο υποστηρικτής Brad Mills συμβούλευσε τους ακόλουθούς του στο X να χρησιμοποιούν υλικό μόνο για Bitcoin που έχει κατασκευαστεί από μηχανικούς Bitcoin που επικεντρώνονται στην ασφάλεια του BTC. Ο Mills παροτρύνει τα μέλη της κοινότητας να μην αποθηκεύουν ποτέ τα κεφάλαια που διαθέτουν σε BTC σε υλικά πορτοφόλια Ledger ή Trezor.

Το 2020, ένα άλλο περιστατικό της Ledger οδήγησε στο διαρροή προσωπικών πληροφοριών χρηστών, όπως διευθύνσεις αλληλογραφίας, τηλέφωνα και διευθύνσεις email. Αναφερόμενος σε προηγούμενες παραβιάσεις της Ledger, ο προγραμματιστής του Ethereum Name Service, Nick Johnson, είπε σε ένα άρθρο ότι κανείς δεν πρέπει να συστήνει το υλικό τους ή να χρησιμοποιεί τις βιβλιοθήκες τους.

"Εντάξει, φαίνεται ότι η Ledger δεν έχει μάθει τίποτα για τη λειτουργική ασφάλεια από πολλαπλές παραβιάσεις. Σε αυτό το σημείο, δεν νομίζω ότι κανείς πρέπει με καλή συνείδηση να συστήσει το υλικό τους ή να χρησιμοποιήσει τις βιβλιοθήκες τους", είπε ο Johnson.

Σύμφωνα με τα λόγια του Johnson, η Ledger έχει επιδείξει συνεχή αδιαφορία για τη λειτουργική ασφάλεια και δεν δικαιούται πλέον το "πλεονέκτημα της αμφιβολίας ότι θα βελτιωθεί."

Ωστόσο, ο crypto trader και αναλυτής Krillin κριτικάρει την Ledger και την κατηγορεί για το ότι έδωσε μια ημέρα για να καταργήσει αρνητικά σχόλια κάτω από τις αναρτήσεις της στο X.

Κατά τη διάρκεια της επίθεσης στις 14 Δεκεμβρίου, ο hacker χρησιμοποίησε μία απάτη με phising για να αποκτήσει πρόσβαση στον υπολογιστή ενός πρώην υπαλλήλου της Ledger. Ο λογαριασμός JavaScript του πρώην υπαλλήλου στο node package manager προσπελάστηκε, οδηγώντας στην παραβίαση.

Μετά την επίθεση, ένα μέλος της κοινότητας συμβούλευσε την Ledger να τα "κάνει open-source όλα" και να αφήσει την κοινότητα να είναι ο "χειρουργός" που θα την ράψει πίσω. Η εταιρεία ανακοίνωσε στις 24 Μαΐου ότι είχε κάνει open-source πολλές από τις εφαρμογές της και δεσμεύεται να κάνει open-source περισσότερο από τον κώδικά της.

Σύμφωνα με τα μέλη της κοινότητας, η διαφάνεια δεν είναι πολυτέλεια αλλά σωτηρία. "Η εμπιστοσύνη, μόλις χαθεί, απαιτεί ανοιχτές φλέβες, όχι αμυδρές υποσχέσεις."

@John13ph