Po hackerském útoku, který postihl její sadu Connect Kit, společnost Ledger přislíbila, že oběti budou odškodněny do konce února 2024. Ohlédnutí za přijatými opatřeními
Ledger přislíbil pomoc obětem hackerského útoku ze 14. prosince
Poslední týden byla hacknuta sada Connect Kit společnosti Ledger, což mělo za následek ztráty ve výši přibližně 600 000 USD pro uživatele, kteří podepsali podvodné autorizace.
Krátce po incidentu generální ředitel společnosti Pascal Gauthier přislíbil, že Ledger vyčlení „co nejvíce interních i externích zdrojů, aby pomohl postiženým získat zpět jejich aktiva“.
Ve středu výrobce hardwarové peněženky tento slib zopakoval:
Soustředíme se stoprocentně na to, abychom navázali na bezpečnostní incident z minulého týdne, zajistili, že se podobným incidentům bude v budoucnu předcházet a že ekosystém zůstane bezpečný.
Jsme si vědomi, že byla zasažena aktiva v hodnotě přibližně 600 tisíc dolarů, která byla odcizena uživatelům, kteří se naslepo přihlašovali do EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Pro stručnou připomínku: hackerovi se podařilo zavést škodlivý kód do knihovny JavaScriptu v sadě Ledger Connect Kit, což mu umožnilo odčerpat finanční prostředky z obětí komunikujících s decentralizovanými finančními aplikacemi (DeFi).
V důsledku toho se společnost Ledger zavázala zajistit, aby oběti, ať už jsou či nejsou zákazníky společnosti, získaly odcizené prostředky tak či onak zpět do konce února příštího roku:
„Zavazujeme se všemi možnými prostředky, včetně gest dobré vůle, zajistit, aby se tak stalo do konce února 2024. S mnoha dotčenými uživateli jsme již v kontaktu a aktivně s nimi pracujeme na podrobnostech.“
Nešifrované podpisy plošně do června
Jedním z prvků, který mohl zpomalit odčerpávání prostředků, jsou čisté podpisy. Slepé podepisování je však v ekosystému DeFi stále příliš rozšířené, což znamená, že není možné přesně zjistit, čeho se autorizovaná transakce týká.
To usnadňuje vznik bezpečnostních incidentů, jako je tento. Například hacker může efektivněji provést front-end útok na decentralizovanou aplikaci (DApp) tak, že její uživatelé podepíší transakci, která dává práva podvodnému smart kontraktu, nikoliv DApp.
Při slepém podepisování je obtížnější tyto pokusy o únos identifikovat. Společnost Ledger proto oznamuje, že do června 2024 to u jejích zařízení již nebude možné.
Aby toho společnost dosáhla, vyzývá vývojáře, aby do svých aplikací integrovali její funkci „Clear Signing“:
Jediným spolehlivým protiopatřením proti tomuto typu útoku je vždy zkontrolovat, k čemu dáváte na svém zařízení souhlas. To je možné pouze s funkcí Clear Signing: to znamená, že na zabezpečené obrazovce vidíte a můžete si ověřit, co přesně podepisujete. Pokud bude ekosystém i nadále umožňovat slepé podepisování, uživatelé zůstanou v ohrožení. Vyzýváme vývojáře DApp, aby podporovali bezpečnostní cihlu Clear Signing.“
Kromě toho společnost vyzývá lidi, kteří 14. prosince udělili oprávnění postiženým DApps, aby tato oprávnění zrušili. To lze provést pomocí služeb, jako je Revoke.cash.
Kromě toho byla zřízena stránka nápovědy pro oběti a společnost Ledger také varuje před pokusy o phishing a upozorňuje, že na X jsou její dva oficiální účty @ledger a @ledger_support.