Ledger объявляет о планах по устранению проблем, связанных с недавними уязвимостями: подробности

Ledger, производитель аппаратных кошельков, объявил о планах отключить слепую подпись для децентрализованных приложений (DApps) виртуальной машины Ethereum (EVM) к июню 2024 года.

Это решение было принято в ответ на эксплойт, когда в библиотеку, используемую многочисленными DApps для подключения к устройствам Ledger, был добавлен сливной механизм кошелька.

Ledger объявляет о плане компенсации жертвам

В своем твите Леджер сообщил, что во время недавнего эксплойта было украдено криптовалютных активов на сумму около 600 000 долларов. В ответ на нарушение безопасности компания объявила о своем обязательстве выплатить компенсацию пострадавшим.

Компания заявила, что прекратит практику слепой подписи на устройствах Ledger к июню 2024 года.

Мы на 100% сосредоточены на устранении инцидента безопасности, произошедшего на прошлой неделе, чтобы предотвратить подобные инциденты в будущем и обеспечить безопасность экосистемы.

Нам известно о пострадавших активах на сумму около 600 тысяч долларов, украденных у пользователей, подписавших слепую подпись в приложениях EVM DApps.

Леджер…

– Леджер (@Ledger) 20 декабря 2023 г.

Слепое подписание предполагает отображение необработанных данных для подписания смарт-контракта, которые могут быть прочитаны компьютерами, но не людьми. Решение компании о поэтапном отказе от слепой подписи является шагом на пути к созданию нового стандарта для повышения защиты пользователей и содействия четкому подписанию в децентрализованных приложениях.

Ledger призвал разработчиков Dapp поддерживать четкое подписание и подчеркнул свою приверженность предотвращению подобных инцидентов в будущем, обеспечивая безопасность экосистемы.

По данным Ledger, украденные активы были взяты у пользователей, подписавших слепую подпись в EVM DApps.

Фонд Ledger Exploit Drains Fund

В ходе недавнего эксплойта на прошлой неделе разработчики в Твиттере обнаружили вредоносную версию Ledger Connect Kit — библиотеки, облегчающей соединение между устройствами Ledger и DApps.

По данным компании BlockAid, занимающейся безопасностью Web3, злоумышленник внедрил полезную нагрузку, истощающую кошелек, в пакет NPM Ledger Connect Kit, что позволило им выкачивать средства у пользователей, которые зарегистрировались в таких децентрализованных приложениях, как Sushi.com и Hey.xyz.

MetaMask, разработчик программного кошелька, предупредил пользователей «прекратить использование DApps» после новостей об атаке. В последующем заявлении Леджер подтвердил, что атака произошла из-за того, что бывший сотрудник стал жертвой фишинговой атаки.

Злоумышленник получил доступ к учетной записи NPMJS бывшего сотрудника, что позволило ему распространить вредоносную версию Ledger Connect Kit. Этот скомпрометированный Connect Kit перенаправлял средства пользователя из любого кошелька, подключающегося к DApp, используя его, в кошелек хакера.

Ledger отреагировал быстро, внедрив исправление в течение 40 минут после того, как службы безопасности предупредили об этом. Тем временем вышла новая версия Connect Kit (1.1.8). Эксплойт не поставил под угрозу устройства Ledger и приложение Ledger Live.

Стоит отметить, что Ledger подвергся критике по поводу своей безопасности. В 2020 году база данных электронной почты клиентов Ledger была взломана, в результате чего было обнаружено более миллиона электронных писем пользователей. Ранее в этом году добровольная служба восстановления на основе идентификаторов Ledger также подверглась критике со стороны пользователей, причем некоторые назвали ее «черным ходом».