ハードウェアウォレットメーカーのLedgerは、2024年6月までにEVM分散型アプリケーション(dapps)のブラインド署名を無効にする。
Ledger社はツイートで、このエクスプロイトで約60万ドルの暗号資産が盗まれたと述べた。Ledger社は、被害を受けた被害者は「救済」され、「2024年6月までにLedger社製デバイスでのブラインド・サインを許可しない」と発表した。
ブラインド署名は、スマートコントラクトの生の署名データを表示するもので、コンピューターは解析できるが、人間が読むことはできない。Ledgerは以前、スマートコントラクトの署名が人間が読める方法で解析される、クリア署名として知られる「見たものがそのまま署名になる」アプローチを提唱していた。
Ledgerは発表の中で、ブラインド署名を廃止する動きは「ユーザーを保護し、DApps全体でクリア署名を奨励する新しい標準につながる」と述べ、ダップ開発者にクリア署名をサポートするよう促した。
We are 100% focused on follow up to last week’s security incident, make sure this like incidents are prevented future, and that ecosystem remains safe.
我々は、ユーザーがEVM DAppsにブラインドサインオンした際に盗まれた、約60万ドルの資産が影響を受けたと認識しています。
Ledger…
– Ledger (@Ledger) 2023年12月20日
。
先週のエクスプロイトでは、LedgerデバイスとDappsの接続を可能にするライブラリであるLedger Connect Kitの悪意のあるバージョンが、Twitter上で開発者によって特定された。Web3のセキュリティ会社BlockAidは、「攻撃者はウォレットを流出させるペイロードをledgerconnectキットのNPMパッケージに注入した」と報告し、Sushi.comやHey.xyzを含むdappsにサインオンしたユーザーの資金を流出させることを可能にした。
ソフトウェアウォレット開発者のMetaMaskは、この攻撃のニュースが流れた後、ユーザーに「dappsの使用を停止する」よう警告した。
Ledger社はその後の投稿で、この攻撃は元従業員がフィッシング攻撃の犠牲になった結果として起こったことを確認した。攻撃者は元従業員のNPMJSアカウント(JavaScriptパッケージ・マネージャー)にアクセスすることができ、Ledger Connect Kitの悪意のあるバージョンをプッシュすることができた。悪意のあるConnect Kitは、それを使用してダップに接続しているすべてのウォレットから、ハッカー自身のウォレットにユーザーの資金を再ルーティングした
。
Ledgerは、同社のセキュリティチームが警告を受けてから40分以内に修正プログラムを導入し、Connect Kitの新しいバージョン(1.1.8)をプッシュしたと発表した。Ledgerのデバイス自体やLedger Liveアプリは、このエクスプロイトによって危険にさらされることはなかった。
Ledger社は以前にも、セキュリティに関する批判に直面している。2020年にはLedgerの顧客Eメールデータベースがハッキングされ、100万人以上のユーザーのEメールが漏洩した。今年初めには、Ledgerの任意IDベースのRecoverサービスがユーザーから「バックドア」と呼ばれた。Ledgerの共同設立者であるエリック・ラルシュヴェックは、Recoverサービスの展開について、「PRの完全な失敗だが、技術的な失敗ではない」と述べている。
