In seguito all’hack che ha colpito il suo Connect Kit, Ledger si è impegnata a risarcire le vittime entro la fine di febbraio 2024. Uno sguardo alle azioni intraprese
Ledger si impegna ad aiutare le vittime dell’hack del 14 dicembre
La scorsa settimana il Connect Kit di Ledger è stato violato, causando circa 600.000 dollari di perdite agli utenti che hanno firmato autorizzazioni fraudolente.
Poco dopo l’incidente, l’amministratore delegato Pascal Gauthier ha dichiarato che Ledger avrebbe dedicato “tutte le risorse interne ed esterne possibili per aiutare le persone colpite a recuperare i loro beni”.
Mercoledì, il produttore di portafogli hardware ha ribadito questa promessa:
Siamo concentrati al 100% sul seguito dell’incidente di sicurezza della scorsa settimana, per assicurarci che incidenti come questo vengano evitati in futuro e che l’ecosistema rimanga sicuro.
Siamo a conoscenza di circa 600.000 dollari di beni colpiti, rubati da utenti che hanno firmato alla cieca sulle DApp EVM.
Ledger…
– Ledger (@Ledger) 20 dicembre 2023
Come breve promemoria, l’hacker è riuscito a introdurre del codice maligno in una libreria JavaScript del Ledger Connect Kit, che gli ha permesso di prosciugare i fondi delle vittime che interagiscono con applicazioni di finanza decentralizzata (DeFi).
Di conseguenza, Ledger si impegna a garantire che le vittime, che siano o meno clienti dell’azienda, recuperino i fondi rubati in un modo o nell’altro entro la fine di febbraio del prossimo anno:
“Ci impegniamo, con tutti i mezzi possibili, compresi i gesti di buona volontà, a garantire che ciò avvenga entro la fine di febbraio 2024. Siamo già in contatto con molti utenti interessati e stiamo lavorando attivamente con loro sui dettagli. “
Firme non criptate su tutta la linea entro giugno
Uno degli elementi che avrebbero potuto rallentare il drenaggio dei fondi è la firma in chiaro. Tuttavia, la firma cieca è ancora troppo diffusa nell’ecosistema della DeFi, il che significa che non è possibile sapere esattamente cosa sia coinvolto in una transazione che è stata autorizzata.
In questo modo è più facile che si verifichino incidenti di sicurezza come questo. Ad esempio, un hacker può effettuare un attacco front-end a un’applicazione decentralizzata (DApp) in modo più efficace, in modo che i suoi utenti firmino una transazione che dà diritti a uno smart contract fraudolento piuttosto che a quello della DApp.
Con la firma cieca, è più difficile identificare questi tentativi di dirottamento. Ledger annuncia quindi che questo non sarà più possibile con i suoi dispositivi entro giugno 2024.
A tal fine, l’azienda invita gli sviluppatori a integrare la funzione “Clear Signing” nelle loro applicazioni:
L’unica contromisura infallibile contro questo tipo di attacchi è quella di controllare sempre a cosa si sta acconsentendo sul proprio dispositivo. Questo è possibile solo con la funzione Clear Signing: ciò significa che è possibile vedere e verificare esattamente ciò che si sta firmando su una schermata sicura. Se l’ecosistema continua a consentire la firma cieca, gli utenti rimangono a rischio. Esortiamo gli sviluppatori di DApp a supportare il mattone di sicurezza Clear Signing. “
Inoltre, l’azienda invita le persone che hanno concesso le autorizzazioni alle DApp interessate il 14 dicembre a revocarle. Questo può essere fatto utilizzando servizi come Revoke.cash.
Inoltre, è stata creata una pagina di aiuto per le vittime e Ledger sta anche mettendo in guardia dai tentativi di phishing, sottolineando che su X, i suoi due account ufficiali sono @ledger e @ledger_support.
