錢包最大的安全隱憂來自於錢包公司的安全能力不足導致。在APT攻擊面前非常脆弱,容易被當作供應鏈攻擊的武器工具。

這次的安全事件,就是Ledger被APT攻擊後,其自研的ledger錢包連接器(ledger-connect)被當作供應鏈攻擊工具使用,繼續攻擊其使用了ledger錢包連接器的其它區塊鏈應用及生態。

根據比特叢林的安全工程師檢查發現: ledger的npm1.1.5至1.1.7版本均為惡意改動,所有使用ledger-connect庫的項目均會遭到攻擊。

比特叢林:將投入6,000萬打造永不丟幣的硬體錢包

截止目前最新消息,Ledger 已更新其程式碼庫至1.18 版本以刪除惡意程式碼。

惡意程式碼解釋:

sushi.com及revoke.cash存在惡意程式碼,經檢查發現是上述網站都載入了ledger錢包連接器(ledger-connect)被供應鏈攻擊。

該專案被注入可以竊取虛擬貨幣的程式碼「 https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1

比特叢林:將投入6,000萬打造永不丟幣的硬體錢包

為什麼會出現這種問題?

首頁,根本原因是Ledger處於市場頭部地位,導致它具有巨大的攻擊價值;但是Ledger本身的安全能力不足。在這類的APT攻擊面前,就顯得非常脆弱,很明顯也事實證明它的整個系統已經被攻擊打穿了。

其次,Ledger的應用場景非常豐富複雜,往往使用Ledger錢包連接器的應用安全防護也非常弱,這又導致進一步擴大了攻擊面並降低了攻擊難度。

因此,最底層的核心問題是Ledger公司不具備安全基因,無法持續的為錢包做安全賦能,導致錢包的迭代升級能力較弱,無法應付層出不窮的新的攻擊場景。

那一個好的錢包公司該具備哪些基因?

第一,區塊鏈安全基因,可以為錢包進行定向深入的安全賦能;

第二,金融基因,錢包屬於金融產品,需要金融屬性讓大家更願意使用;

第三,錢包屬於硬體產品,涉及資金及供應鏈管理,門檻相當高;

第四,錢包的用戶信任,是個需要至少5年的持續營運累積;

第五,要有永不作惡的初心。

比特叢林,身為一家白手起家的金融科技公司,而且核心業務為區塊鏈安全,所以,我們天生肩負這個使命:打造一款永不丟幣的錢包!

由此,比特叢林決定啟動硬體錢包業務,並計畫於2024年中旬正式上市。我們初期融資目標為1000萬美元,以加速硬體錢包業務的發展與推廣。

比特叢林將重新定義硬體錢包,讓這個賽道重新回歸到安全。我們歡迎潛在投資人的加入,共同建構一個安全、創新的數位資產儲存新時代!

比特叢林:將投入6,000萬打造永不丟幣的硬體錢包
圖為比特叢林創始人Eric
23年12月13日預言錢包安全的核心問題