Hardwareportemonneefabrikant Ledger gaat blind ondertekenen voor EVM gedecentraliseerde applicaties (dapps) uitschakelen tegen juni 2024, na een exploit waarbij een portemonnee-onttrekker werd toegevoegd aan een bibliotheek die door veel ontwikkelaars wordt gebruikt om verbinding te maken met zijn apparaten.
In een tweet zei Ledger dat er ongeveer 600.000 dollar aan cryptomiddelen was gestolen tijdens de exploit. Het bedrijf kondigde aan dat getroffen slachtoffers “schadeloos zouden worden gesteld” en dat het “Blind Signing met Ledger-apparaten niet langer zou toestaan tegen juni 2024”.
Blind ondertekenen houdt in dat ruwe gegevens over het ondertekenen van smartcontracten worden weergegeven die door computers kunnen worden verwerkt, maar onbegrijpelijk zijn voor een menselijke lezer. Ledger heeft eerder gepleit voor een “wat je ziet is wat je ondertekent”-benadering die bekend staat als duidelijke ondertekening, waarbij de ondertekening van smartcontracten op een voor mensen leesbare manier wordt geparseerd.
In haar aankondiging verklaarde Ledger dat haar beslissing om het blind ondertekenen af te schaffen “zou leiden tot een nieuwe standaard om gebruikers te beschermen en Clear Signing in DApps aan te moedigen,” en moedigde dapp-ontwikkelaars aan om Clear Signing te ondersteunen.
We zijn 100% gefocust op het opvolgen van het beveiligingsincident van vorige week, om ervoor te zorgen dat incidenten zoals deze in de toekomst worden voorkomen en dat het ecosysteem veilig blijft.
We zijn ons bewust van ongeveer $600k aan assets die zijn gestolen van gebruikers die blind hebben getekend op EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Het bedrijf heeft al eerder te maken gehad met kritiek over zijn beveiliging. In 2020 werd een Ledger klantendatabase gehackt, waarbij meer dan een miljoen gebruikerse-mails in gevaar kwamen, terwijl eerder dit jaar Ledger’s vrijwillige ID-gebaseerde Recover service een “achterdeur” werd genoemd door gebruikers. Ledger’s medeoprichter Éric Larchevêque beschreef de uitrol van de Recover service als “een totale PR mislukking, maar absoluut geen technische mislukking.”
