Il produttore di portafogli hardware Ledger disabiliterà la firma cieca per le applicazioni decentralizzate EVM (dapps) entro giugno 2024, a seguito di un exploit in cui un wallet drainer è stato aggiunto a una libreria utilizzata da molti sviluppatori per connettersi ai suoi dispositivi.
In un tweet, Ledger ha dichiarato che durante l’exploit sono stati rubati circa 600.000 dollari in criptovalute. Ha annunciato che le vittime colpite saranno “risarcite” e che “non consentirà più il Blind Signing con i dispositivi Ledger entro giugno 2024”.
La firma cieca comporta la visualizzazione dei dati grezzi di firma dei contratti smart che possono essere analizzati dai computer ma sono incomprensibili per un lettore umano. Ledger si è già espressa a favore di un approccio del tipo “ciò che vedi è ciò che firmi”, noto come clear signing, in cui la firma dei contratti smart viene analizzata in modo leggibile dall’uomo.
Nel suo annuncio, Ledger ha dichiarato che la sua mossa di eliminare la firma cieca “porterà a un nuovo standard per proteggere gli utenti e incoraggiare la firma chiara in tutte le DApp” e ha incoraggiato gli sviluppatori di dapp a supportare la firma chiara.
Siamo concentrati al 100% sul seguito dell’incidente di sicurezza della scorsa settimana, per assicurarci che incidenti del genere vengano prevenuti in futuro e che l’ecosistema rimanga sicuro.
Siamo a conoscenza di circa 600.000 dollari di beni colpiti, rubati da utenti che hanno firmato alla cieca sulle DApp EVM.
Ledger…
– Ledger (@Ledger) Dicembre 20, 2023
Nell’exploit della scorsa settimana, una versione dannosa del Ledger Connect Kit, una libreria che consente ai dispositivi Ledger di connettersi con le dapp, è stata identificata dagli sviluppatori su Twitter. L’azienda di sicurezza Web3 BlockAid ha riferito che “l’aggressore ha iniettato un payload che prosciuga il portafoglio” nel pacchetto NPM del kit Ledger Connect”, consentendogli di prosciugare i fondi degli utenti che hanno firmato su dapps come Sushi.com e Hey.xyz.
Lo sviluppatore di portafogli software MetaMask ha avvertito gli utenti di “smettere di usare le dapps” dopo la notizia dell’attacco.
In un post successivo, Ledger ha confermato che l’attacco è avvenuto a causa di un ex dipendente vittima di un attacco di phishing. L’aggressore è riuscito a ottenere l’accesso all’account NPMJS dell’ex dipendente, un gestore di pacchetti JavaScript, consentendogli di inviare una versione dannosa del Connect Kit di Ledger. Il Connect Kit dannoso ha poi reindirizzato i fondi degli utenti da qualsiasi portafoglio che si connette a una dapp che lo utilizza, al portafoglio dell’hacker stesso.
Ledger ha dichiarato che la soluzione è stata implementata entro 40 minuti dall’allarme lanciato ai team di sicurezza dell’azienda e ha distribuito una nuova versione del Connect Kit (1.1.8). I dispositivi Ledger stessi e l’applicazione Ledger Live dell’azienda non sono stati compromessi dall’exploit, ha aggiunto.
L’azienda ha già dovuto affrontare critiche sulla sua sicurezza. Nel 2020 è stato violato un database di e-mail di clienti di Ledger, con oltre un milione di e-mail di utenti compromesse, mentre all’inizio di quest’anno il servizio Recover di Ledger, basato sull’ID volontario, è stato definito dagli utenti una “backdoor”. Il cofondatore di Ledger, Éric Larchevêque, ha descritto il lancio del servizio Recover come “un totale fallimento a livello di pubbliche relazioni, ma assolutamente non a livello tecnico”.
