Поставщик аппаратного криптокошелька ledger внесет изменения в процессы подписания транзакций после эксплойта 14 декабря в программной библиотеке Ledger Connect Kit.
«Нам известно о затронутых активах примерно на 600 000 долларов, украденных у пользователей, подписавших слепую подпись в evm dapps», — написал Леджер в сообщении в среду X. Он «обязуется работать с экосистемой DApp, чтобы обеспечить прозрачную подпись и запретить слепую подпись на устройствах Ledger к июню 2024 года».
Клиенты Ledger и не-Ledger, потерявшие средства в результате эксплойта, будут «восстановлены» к концу февраля 2024 года, заявила фирма, добавив, что те, кто подписал транзакцию в затронутых DApps, должны отозвать несанкционированные транзакции, чтобы предотвратить проникновение вредоносного кода, влияя на них в дальнейшем.
«Наше обязательство — работать с сообществом и экосистемой DApp, чтобы разрешить Clear Signing, чтобы пользователи могли проверять все транзакции на устройствах Ledger перед подписанием. Это приведет к созданию нового стандарта для защиты пользователей и поощрения Clear Signing в DApps», — написал Ledger.
Слепое подписание — это процесс, когда пользователю предоставляются необработанные данные, интерпретируемые компьютерами, но нечитаемые для людей, для одобрения транзакций в цепочке с помощью своего закрытого ключа. Четкая подпись суммирует транзакцию, которую пользователь должен просмотреть и понять перед ее выполнением, объяснил Ledger в статье за июнь 2022 года.
Проблема безопасности Ledger ConnectKit
На прошлой неделе критическая уязвимость , затронувшая несколько децентрализованных приложений, затронула библиотеку программного обеспечения, на которую опирался Ledger. Потенциально из-за взлома сети доставки контента конкретной библиотеки программного обеспечения вредоносный код был внедрен во внешние интерфейсы приложений, что позволило злоумышленнику украсть активы.
Ledger удалил вредоносный код после его обнаружения, но, по оценкам сторонних организаций, за это время пострадало около 500 000 долларов США.
Вредоносный код, известный как angel drainer, перенаправлял активы пользователей на кошельки хакера. Взлом начался с «изощренной фишинговой атаки» на бывшего сотрудника Ledger, чей доступ не был вовремя отозван вручную, говорится в подробном отчете компании о эксплойте.
«Это был досадный изолированный инцидент», — сказал Ledger. «Реализованная техника фишинга не была сосредоточена на учетных данных, что мы видим в большинстве атак Front-End, влияющих на экосистему, а вместо этого злоумышленник работал непосредственно с токеном сеанса».