Ledgerサプライチェーン攻撃：なぜこのNPM侵害が暗号資産の最も暗い日になる可能性があるのか

Ledgerが衝撃的な発表をしました: NPMサプライチェーンの妥協が検出されました。しかし、皆が見落としているのは、これは単なるハードウェアウォレット会社の問題ではないということです。これは、数十億ドルが存在するインフラ全体に関することです。

何が起こった

9月8日、Ledgerは人気のあるNPMパッケージに悪意のあるコードが注入されていることを発見しました。翻訳：ウォレットのインタラクション、DeFiプロトコル、そして取引所のインフラを支えるJavaScriptライブラリが汚染されました。Ledgerはすぐにユーザーに、範囲が明確になるまですべてのオンチェーン取引を停止するように伝えました。

なぜ？攻撃者がこれらのライブラリを捕まる前に侵害した場合、彼らは次のことができたかもしれません：

• 取引中にプライベートキーが傍受されました
• 資金盗難のためのバックドアを作成した
• 取引データを静かに操作した

これは新しいことではありませんが、怖いです

サプライチェーン攻撃は以前にも発生しています—SolarWindsは18,000の米国政府機関を侵害しました。しかし、SolarWindsは人々の暗号資産を保管していませんでした。Ledgerは保管しています: 数十億ドルのデジタル資産。

恐ろしい部分は？ それらの感染したNPMパッケージを使用している開発者は、自分たちが妥協されていることを知らないかもしれません。悪意のあるコードは休眠状態であり、後でアクティブになるのを待っている可能性があります。

本当の問題

ハードウェアウォレットはハッキング不可能であるはずだった—キーはオフラインに存在する。しかし、あなたのデバイスとブロックチェーンの間のソフトウェアブリッジは？それはオンラインだ。それは脆弱だ。そこがこの攻撃が発生した場所だ。

Ledgerはサイバーセキュリティの専門家と協力してそれを封じ込めています。まだ確認された損失は報告されていません。しかし、彼らがすべての取引を停止することを勧めたという事実は、脅威レベルが重大であることを示しています。

これが意味すること

ユーザーの皆様へ: 最も大きな名前に対する信頼も絶対的ではありません。あなたのセキュリティチェーンは、最も脆弱なリンクと同じ強さしかありません。現在、そのリンクがどこで切れたのかは不明です。

エコシステムのために: これは分散化の二面性を証明しています。銀行からの自由 = 正しく保護しなければ壊滅する自由。

開発者向け: すべてを監査してください。サードパーティの依存関係は危険です。