Výrobce hardwarových peněženek Ledger vypne do června 2024 podepisování naslepo pro decentralizované aplikace (dapps) EVM, a to v návaznosti na exploit, při kterém byl do knihovny používané mnoha vývojáři k připojení k jeho zařízení přidán odčerpávač peněženek.
Společnost Ledger ve svém tweetu uvedla, že během exploitu bylo odcizeno přibližně 600 000 dolarů v kryptoaktivních aktivech. Oznámila, že postižené oběti budou „odškodněny“ a že „do června 2024 již nebude umožňovat slepé podepisování pomocí zařízení Ledger.
Podepisování naslepo zahrnuje zobrazení nezpracovaných dat pro podepisování chytrých smluv, která mohou být analyzována počítači, ale pro lidského čtenáře jsou nesrozumitelná. Společnost Ledger již dříve prosazovala přístup „co vidíte, to podepíšete“, známý jako jasné podepisování, při kterém je podpis inteligentní smlouvy analyzován způsobem čitelným pro člověka.
Společnost Ledger ve svém oznámení uvedla, že její krok k zániku slepého podepisování „povede k novému standardu na ochranu uživatelů a podpoří jasné podepisování napříč DApps“, a vyzvala vývojáře dapp, aby jasné podepisování podporovali.
Soustředíme se stoprocentně na to, abychom navázali na bezpečnostní incident z minulého týdne, zajistili, že se podobným incidentům bude v budoucnu předcházet a že ekosystém zůstane bezpečný.
Jsme si vědomi, že byla zasažena aktiva v hodnotě přibližně 600 tisíc dolarů, která byla odcizena uživatelům, kteří se naslepo přihlašovali do EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
V minulém týdnu byla vývojáři na Twitteru identifikována škodlivá verze Ledger Connect Kit, knihovny, která umožňuje připojení zařízení Ledger k dapps. Bezpečnostní firma Web3 BlockAid uvedla, že „útočník injektoval do balíčku NPM sady Ledgerconnect payload pro vyprázdnění peněženky“, což mu umožnilo vyprázdnit finanční prostředky uživatelů, kteří se přihlásili k dapps, včetně Sushi.com a Hey.xyz.
Vývojář softwarové peněženky MetaMask po zveřejnění zprávy o útoku varoval uživatele, aby „přestali používat dapps“.
V následném příspěvku společnost Ledger potvrdila, že k útoku došlo v důsledku toho, že se bývalý zaměstnanec stal obětí phishingového útoku. Útočníkovi se podařilo získat přístup k účtu NPMJS, správci balíčků v JavaScriptu, bývalého zaměstnance, což mu umožnilo odeslat škodlivou verzi sady Ledger Connect Kit. Škodlivá sada Connect Kit pak přesměrovala prostředky uživatelů z jakékoli peněženky připojující se k dapp, která ji používá, do vlastní peněženky hackera.
Společnost
Ledger uvedla, že oprava byla nasazena do 40 minut od upozornění bezpečnostních týmů firmy a odeslala novou verzi sady Connect Kit (1.1.8). Dodala, že samotná zařízení Ledger ani aplikace Ledger Live nebyly zneužitím ohroženy.
Firma již dříve čelila kritice ohledně svého zabezpečení. V roce 2020 byla hacknuta e-mailová databáze zákazníků společnosti Ledger, přičemž bylo ohroženo více než milion uživatelských e-mailů, zatímco na začátku tohoto roku byla služba Recover založená na dobrovolném ID společnosti Ledger uživateli označena za „zadní vrátka“. Spoluzakladatel společnosti Ledger Éric Larchevêque popsal zavedení služby Recover jako „totální PR selhání, ale rozhodně ne technické“.
