Na de hack die zijn Connect Kit trof, heeft Ledger toegezegd dat slachtoffers eind februari 2024 gecompenseerd zullen zijn. Een terugblik op de ondernomen acties
Ledger belooft hulp aan slachtoffers van 14 december hack
Vorige week werd de Connect Kit van Ledger gehackt, waardoor gebruikers die frauduleuze autorisaties ondertekenden ongeveer 600.000 dollar verloren.
Kort na het incident beloofde Pascal Gauthier, CEO van het bedrijf, dat Ledger “zoveel mogelijk interne en externe middelen zou inzetten om de getroffenen te helpen hun bezittingen terug te krijgen”.
Op woensdag herhaalde de fabrikant van hardware-portemonnees deze belofte:
We zijn 100% gefocust op het opvolgen van het beveiligingsincident van vorige week, om ervoor te zorgen dat incidenten zoals deze in de toekomst worden voorkomen en dat het ecosysteem veilig blijft.
We zijn ons bewust van ongeveer $600k aan assets die zijn gestolen van gebruikers die blind hebben getekend op EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Ter herinnering: de hacker slaagde erin kwaadaardige code te introduceren in een JavaScript-bibliotheek in de Ledger Connect Kit, waardoor hij geld kon aftappen van slachtoffers die in contact stonden met gedecentraliseerde financiële applicaties (DeFi).
Als gevolg hiervan is Ledger vastbesloten om ervoor te zorgen dat slachtoffers, of ze nu wel of geen klant zijn van het bedrijf, de gestolen fondsen op de een of andere manier terugkrijgen voor het einde van februari volgend jaar:
“We zetten ons met alle mogelijke middelen in, inclusief gebaren van goede wil, om ervoor te zorgen dat dit eind februari 2024 is gebeurd. We hebben al contact met veel getroffen gebruikers en werken actief met hen aan de details.”
Onversleutelde handtekeningen over de hele linie tegen juni
Eén van de elementen die het wegvloeien van fondsen had kunnen vertragen, zijn duidelijke handtekeningen. Blinde handtekeningen zijn echter nog steeds te wijdverspreid in het DeFi-ecosysteem, wat betekent dat het niet mogelijk is om precies te weten wat er betrokken is bij een transactie die geautoriseerd is.
Hierdoor kunnen beveiligingsincidenten zoals deze gemakkelijker plaatsvinden. Een hacker kan bijvoorbeeld een front-end aanval op een gedecentraliseerde applicatie (DApp) effectiever uitvoeren, zodat zijn gebruikers een transactie ondertekenen die rechten geeft aan een frauduleus smart contract in plaats van die van de DApp.
Met blind signing is het moeilijker om deze pogingen tot kaping te identificeren. Ledger kondigt daarom aan dat dit vanaf juni 2024 niet meer mogelijk zal zijn met hun apparaten.
Om dit te bereiken nodigt het bedrijf ontwikkelaars uit om zijn functie “Clear Signing” te integreren in hun applicaties:
De enige onfeilbare maatregel tegen dit soort aanvallen is om altijd te controleren waar je toestemming voor geeft op je apparaat. Dit is alleen mogelijk met Clear Signing: wat betekent dat je precies kunt zien en verifiëren wat je ondertekent op een beveiligd scherm. Als het ecosysteem blind ondertekenen blijft toestaan, blijven gebruikers risico lopen. We dringen er bij DApp-ontwikkelaars op aan om de beveiligingssteen Clear Signing te ondersteunen.”
Daarnaast roept het bedrijf mensen die op 14 december machtigingen hebben verleend aan getroffen DApps op om deze machtigingen in te trekken. Dit kan gedaan worden met diensten zoals Revoke.cash.
Daarnaast is er een hulppagina opgezet voor slachtoffers en waarschuwt Ledger ook voor phishingpogingen door erop te wijzen dat op X haar twee officiële accounts @ledger en @ledger_support zijn.
