コネクトキットに影響を与えたハッキングを受け、Ledgerは被害者に2024年2月末までに補償を行うことを約束した。対応を振り返る
Ledger、12月14日のハッキング被害者への支援を約束
先週、Ledgerのコネクトキットがハッキングされ、不正な認証に署名したユーザーに約60万ドルの損失が発生した。
事件の直後、同社のCEOであるパスカル・ゴーティエは、Ledgerが「被害を受けた人々の資産回復を支援するため、可能な限り多くの社内外のリソースを投入する」と約束した。
水曜日、ハードウェアウォレットメーカーはこの約束を繰り返した:
我々は先週のセキュリティインシデントのフォローアップに100%集中しており、このようなインシデントが将来的に防止され、エコシステムが安全であることを確認しています。
我々は、ユーザーがEVM DAppsにブラインドサインした際に盗まれた、約60万ドルの資産が影響を受けたと認識しています。
Ledger…
– Ledger (@Ledger) 2023年12月20日
。
ハッカーはLedger Connect KitのJavaScriptライブラリに悪意のあるコードを導入し、分散型金融アプリケーション(DeFi)とやり取りする被害者から資金を引き出すことに成功した。
その結果、Ledgerは、被害者が同社の顧客であるかどうかにかかわらず、来年2月末までに何らかの方法で盗まれた資金を回復させることを約束している。
「私たちは、善意のジェスチャーを含むあらゆる可能な手段を使って、2024年2月末までにこれを確実に実行することを約束します。すでに影響を受ける多くのユーザーと連絡を取っており、詳細について積極的に協力しています。
6月までにすべての署名を非暗号化
資金の流出を遅らせることができた要素のひとつに、明確な署名がある。しかし、DeFiのエコシステムではブラインド署名がまだ広まりすぎており、承認された取引に何が関係しているのかを正確に知ることができない。
そのため、今回のようなセキュリティ・インシデントが発生しやすくなっている。例えば、ハッカーは分散型アプリケーション(DApp)に対するフロントエンド攻撃をより効果的に実行することができ、DAppのユーザーではなく、不正なスマートコントラクトに権利を与える取引に署名させることができる。
ブラインド署名では、このようなハイジャックの試みを特定することはより困難です。そこでLedgerは、2024年6月までに同社のデバイスでこのようなことができなくなると発表した。
これを実現するため、同社は開発者に対し、アプリケーションに「クリア署名」機能を統合するよう呼びかけている。
この種の攻撃に対する唯一の確実な対策は、デバイス上で同意している内容を常に確認することだ。これはクリア署名でのみ可能です。つまり、安全な画面上で署名内容を正確に見て確認することができるのです。エコシステムがブラインド署名を許可し続ければ、ユーザーはリスクにさらされたままです。私たちはDApp開発者に対し、Clear Signingセキュリティブリックをサポートするよう強く求めます。
さらに同社は、12月14日に影響を受けたDAppsに権限を付与した人々に対し、それらの権限を取り消すよう呼びかけている。これはRevoke.cashなどのサービスを利用して行うことができる。
さらに、被害者のためのヘルプページが開設され、Ledgerはフィッシング詐欺に注意するよう警告している。
