Производителят на хардуерни портфейли Ledger ще деактивира сляпото подписване за децентрализирани приложения (dapps) на EVM до юни 2024 г. след експлойт, при който в библиотека, използвана от много разработчици за свързване с устройствата му, е добавено устройство за източване на портфейли.
В туитър Ledger заяви, че по време на експлойта са били откраднати криптоактиви на стойност около 600 000 USD. Тя обяви, че засегнатите жертви ще бъдат „обезщетени“ и че „до юни 2024 г. вече няма да позволява сляпо подписване с устройства на Ledger.
Сляпото подписване включва показване на необработени данни за подписване на интелигентни договори, които могат да бъдат анализирани от компютри, но са неразбираеми за човешкия читател. Преди това Ledger се застъпваше за подхода „каквото виждаш, това и подписваш“, известен като ясно подписване, при който данните за подписване на интелигентни договори се анализират по разбираем за човека начин.
В съобщението си Ledger заяви, че нейният ход за закриване на сляпото подписване ще „доведе до нов стандарт за защита на потребителите и насърчаване на ясното подписване в DApps“ и насърчи разработчиците на dapp да подкрепят ясното подписване.
Съсредоточени сме на 100% върху последващите действия във връзка с инцидента със сигурността от миналата седмица, за да сме сигурни, че подобни инциденти ще бъдат предотвратени в бъдеще и че екосистемата ще остане в безопасност.
Известно ни е, че са засегнати активи на стойност приблизително 600 хил. долара, откраднати от потребители, които се подписват на сляпо в EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
При експлойта от миналата седмица разработчиците в Twitter идентифицираха злонамерена версия на Ledger Connect Kit – библиотека, която позволява на устройствата Ledger да се свързват с dapps. Фирмата за сигурност Web3 BlockAid съобщи, че „нападателят е инжектирал полезен товар за източване на портфейл“ в пакета NPM на комплекта Ledgerconnect“, което му е позволило да източи средствата на потребителите, които са се регистрирали в дапс, включително Sushi.com и Hey.xyz.
Разработчикът на софтуерни портфейли MetaMask предупреди потребителите да „спрат да използват dapps“, след като се появиха новините за атаката.
В последваща публикация Ledger потвърди, че атаката е извършена в резултат на това, че бивш служител е станал жертва на фишинг атака. Нападателят е успял да получи достъп до акаунта на бившия служител в NPMJS – мениджър на пакети на JavaScript, което му е позволило да пусне зловредна версия на Ledger Connect Kit. След това зловредният Connect Kit пренасочвал средствата на потребителите от всеки портфейл, който се свързва с използващ го dapp, към собствения портфейл на хакера.
Ledger заяви, че поправката е била внедрена в рамките на 40 минути, след като екипите по сигурността на фирмата са били предупредени, и е пуснала нова версия на Connect Kit (1.1.8). Самите устройства на Ledger и приложението Ledger Live на фирмата не са били компрометирани от експлойта, добави тя.
Фирмата и преди се е сблъсквала с критики относно сигурността си. През 2020 г. беше хакната база данни с имейли на клиенти на Ledger, като бяха компрометирани над един милион потребителски имейла, а по-рано тази година базираната на доброволен идентификатор услуга Recover на Ledger беше наречена от потребителите „задна вратичка“. Съоснователят на Ledger Ерик Ларчевек описа пускането на услугата Recover като „пълен PR провал, но не и технически“
