【速報】

レジャーCEOのパスカル・ゴーシェは木曜日の投稿で、レジャーのLedger ConnectKitに対する「サプライチェーン攻撃」に対処しました。ゴーシェ氏は「レジャーでは、1人のみが複数の当事者によるレビューなしにコードを展開することはできません。ほとんどの開発には強力なアクセス制御、内部レビュー、マルチシグネチャコードがあります。これは、ほとんどの内部システムで99%のケースです。会社を退社した従業員は、レジャーシステムのすべてからアクセスが取り消されます」と述べました。　しかし、木曜日の朝に元従業員がフィッシング攻撃の標的になったときはそのような事態ではありませんでした。これにより、ハッカーはレジャーのパッケージマネージャに入るための開口部を手に入れました。従業員がなぜシステムへのアクセスを保持していたのかはまだ不明です。レジャーは、明確にするためのコメント要求にただちに答えることはありませんでした。　ゴーシェは「これは不幸な孤立した事件でした。これはセキュリティが静的でないことを示すリマインダーであり、レジャーは常にセキュリティシステムとプロセスを改善しなければなりません。レジャーは、厳格なソフトウェアサプライチェーンセキュリティを実施するビルドパイプラインをNPMディストリビューションチャンネルに接続するより強力なセキュリティ制御を実装します」と述べました。　ゴーシェはまた、ブラウザベースの署名を可能にするDappsのセキュリティを強化すると述べました。木曜日のXアカウントでのコミュニケーション全体で、レジャーの公式アカウントはクリアに署名されたトランザクションを推進しました。　レジャーのサイトによると、「透過的およびクリアな署名により、元のデータの変換されたバージョンが提供され、ユーザーは署名する内容を理解しやすくなります」としています。　事件は木曜日の早朝に最初に報告され、分散型取引所SushiSwapが警告を発した後、そのフロントエンドWebアプリをオフラインにし、ユーザーに予期しない「Connect Wallet」ポップアップに関連付けないようにと伝えました。　Front-endをオフラインにしたRevoked.cashも、サイバーセキュリティ企業BlockAidによれば影響を受けました。間もなく、レジャーは正規のConnectKitを展開したと述べ、悪意のあるコードを発見してから約40分でWalletConnectと連携してそれを取り除いたと述べました。同社によると、木曜日の早い段階で、攻撃が約5時間にわたって活動していました。タザーのCEOパオロ・アルドイーノもXに投稿し、攻撃者のアドレスが凍結されたと述べました。