След хакерската атака, засегнала нейния Connect Kit, Ledger обеща, че жертвите ще бъдат компенсирани до края на февруари 2024 г. Поглед назад към предприетите действия
Ledger обещава помощ на жертвите на хакерската атака от 14 декември
През миналата седмица комплектът Connect Kit на Ledger беше хакнат, което доведе до загуби от приблизително 600 000 долара за потребителите, които са подписали измамни оторизации.
Малко след инцидента главният изпълнителен директор на компанията Паскал Готие обеща, че Ledger ще отдели „възможно най-много вътрешни и външни ресурси, за да помогне на засегнатите да възстановят активите си“.
В сряда производителят на хардуерни портфейли повтори това обещание:
Съсредоточени сме на 100% върху последващите действия във връзка с инцидента със сигурността от миналата седмица, за да сме сигурни, че подобни инциденти ще бъдат предотвратени в бъдеще и че екосистемата ще остане в безопасност.
Известно ни е, че са засегнати активи на стойност приблизително 600 хил. долара, откраднати от потребители, които се подписват на сляпо в EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Накратко напомняме, че хакерът е успял да въведе зловреден код в библиотека на JavaScript в комплекта Ledger Connect Kit, което му е позволило да източва средства от жертви, взаимодействащи с децентрализирани финансови приложения (DeFi).
В резултат на това Ledger се ангажира да гарантира, че жертвите, независимо дали са клиенти на компанията или не, ще възстановят откраднатите средства по един или друг начин до края на февруари следващата година:
„Поемаме ангажимент с всички възможни средства, включително с жестове на добра воля, да гарантираме, че това ще бъде направено до края на февруари 2024 г. Вече сме в контакт с много засегнати потребители и активно работим с тях по подробностите. „
Некриптирани подписи навсякъде до юни
Един от елементите, които биха могли да забавят източването на средства, са изчистените подписи. Сляпото подписване обаче все още е твърде разпространено в екосистемата на DeFi, което означава, че не е възможно да се знае какво точно участва в трансакцията, която е била разрешена.
Това улеснява възникването на инциденти със сигурността като този. Например хакер може да извърши по-ефективно фронтална атака срещу децентрализирано приложение (DApp), така че неговите потребители да подпишат транзакция, даваща права на измамен интелигентен договор, а не на този на DApp.
При сляпото подписване е по-трудно да се идентифицират тези опити за превземане. Поради това Ledger обявява, че до юни 2024 г. това вече няма да е възможно с техните устройства.
За да постигне това, компанията приканва разработчиците да интегрират нейната функция „Ясно подписване“ в своите приложения:
Единствената надеждна мярка за противодействие срещу този вид атаки е винаги да проверявате за какво се съгласявате на вашето устройство. Това е възможно само с Clear Signing: което означава, че можете да видите и проверите какво точно подписвате на защитен екран. Ако екосистемата продължава да позволява сляпо подписване, потребителите остават изложени на риск. Призоваваме разработчиците на DApp да подкрепят тухлата за сигурност Clear Signing.“
Освен това компанията призовава хората, които са предоставили разрешения на засегнатите DApps на 14 декември, да отменят тези разрешения. Това може да бъде направено с помощта на услуги като Revoke.cash.
Освен това е създадена страница за помощ на жертвите, а Ledger също така предупреждава срещу опити за фишинг, като посочва, че в X двата ѝ официални акаунта са @ledger и @ledger_support.
