比特丛林：将投入6000万打造永不丢币的硬件钱包

钱包最大的安全隐患来自于钱包公司的安全能力不足导致。在APT攻击面前非常脆弱，容易被当作供应链攻击的武器工具。

这次的安全事件，就是Ledger被APT攻击后，其自研的ledger钱包连接器(ledger-connect)被当作供应链攻击工具使用，继续攻击其使用了ledger钱包连接器的其它区块链应用及生态。

根据比特丛林的安全工程师检查发现：ledger的npm1.1.5至1.1.7版本均为恶意改动，所有使用ledger-connect库的项目均会遭到攻击。

截止目前最新消息，Ledger 已更新其代码库至 1.18 版本以删除恶意代码。

恶意代码解释：

sushi.com及revoke.cash存在恶意代码，经检查发现是上述网站都加载了ledger钱包连接器(ledger-connect)被供应链攻击。

该项目被注入可以盗窃虚拟货币的代码「https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1」

为什么会出现这种问题？

首页，根本原因就是Ledger处于市场头部地位，导致它具有巨大的攻击价值；但是Ledger本身的安全能力不足。在这类的APT攻击面前，就显得非常脆弱，很明显也事实证明它的整个系统已经被攻击打穿了。

其次，Ledger的应用场景非常丰富复杂，往往使用Ledger钱包连接器的应用安全防护也非常弱，这又导致进一步扩大了攻击面和降低了攻击难度。

因此，最底层的核心问题是Ledger公司不具备安全基因，不能够持续的为钱包做安全赋能，导致钱包的迭代升级能力较弱，无法应对层出不穷的新的攻击场景。

那一个好的钱包公司应该具备哪些基因？

第一，区块链安全基因，可以为钱包进行定向深入的安全赋能；

第二，金融基因，钱包属于金融产品，需要金融属性才能让大家更愿意使用；

第三，钱包属于硬件产品，涉及资金及供应链管理，门槛相当高；

第四，钱包的用户信任，是个需要至少5年的持续运营积累；

第五，要有永不作恶的初心。

比特丛林，作为一家白手起家的金融科技公司，而且核心业务为区块链安全，所以，我们天生肩负这个使命：打造一款永不丢币的钱包！

由此，比特丛林已决定启动硬件钱包业务，并计划于2024年中旬正式面市。我们初期融资目标为1000万美元，以加速硬件钱包业务的发展和推广。

比特丛林将重新定义硬件钱包，让这个赛道重新回归到安全。我们欢迎潜在投资人的加入，共同构建一个安全、创新的数字资产存储新时代！

图为比特丛林创始人Eric  23年12月13日预言钱包安全的核心问题