在流行的冷加密货币钱包之一 Ledger 遭到网络攻击、48.4 万美元的数字货币被盗之后，冷加密货币钱包的安全性现在受到了质疑。Ledger 解释说，其安全性遭到破坏的原因是 "一名前员工成为网络钓鱼攻击的受害者"。

多个 DeFi 协议面临风险

正如区块链分析师指出并经 Ledger 证实的那样，黑客在 GitHub 的 Connect Kit 库中插入了一段恶意代码，这是一个钱包平台广泛使用的 javascript 库。

Connect Kit 使去中心化金融（DeFi）协议能够与硬件钱包连接。该代码的可用性使其他几个使用它的 DeFi 平台面临安全风险。Sushi、Lido、Metamask 和 Coinbase 只是使用 Connect Kit 的几家公司。

Ledger 已经确认删除了恶意代码。不过，用户仍然面临风险，因为根据区块链分析师的说法，使用 Connect Kit 的每个协议都需要手动更新版本。

我们与合作伙伴 WalletConnect 一起迅速处理了这一漏洞，在发现漏洞后的 40 分钟内更新了 NPMJS，删除并停用了恶意代码。Ledger董事长兼首席执行官帕斯卡尔-高迪尔（Pascal Gauthier）在一篇博客文章中写道：这是业界迅速合作应对安全挑战的一个很好的例子。

在谈到前雇员遭受的网络钓鱼攻击时，他补充说：这是一起不幸的孤立事件。它提醒我们，安全不是一成不变的，Ledger 必须不断改进我们的安全系统和流程。