Po włamaniu, które dotknęło jej Connect Kit, Ledger zobowiązał się, że ofiary otrzymają rekompensatę do końca lutego 2024 roku. Spojrzenie wstecz na podjęte działania
Ledger obiecuje pomoc ofiarom włamania z 14 grudnia
W zeszłym tygodniu zestaw Connect Kit firmy Ledger został zhakowany, co spowodowało straty w wysokości około 600 000 USD dla użytkowników, którzy podpisali fałszywe autoryzacje.
Wkrótce po tym incydencie dyrektor generalny firmy Pascal Gauthier zobowiązał się, że Ledger poświęci „jak najwięcej zasobów wewnętrznych i zewnętrznych, aby pomóc poszkodowanym odzyskać ich aktywa”.
W środę producent portfeli sprzętowych powtórzył tę obietnicę:
Jesteśmy w 100% skoncentrowani na działaniach związanych z zeszłotygodniowym incydentem bezpieczeństwa, upewniając się, że incydenty takie jak ten będą zapobiegane w przyszłości, a ekosystem pozostanie bezpieczny.
Wiemy o około 600 tysiącach dolarów w aktywach, które zostały skradzione użytkownikom podpisującym DApps EVM w ciemno.
Ledger…
– Ledger (@Ledger) 20 grudnia 2023
W ramach krótkiego przypomnienia, hakerowi udało się wprowadzić złośliwy kod do biblioteki JavaScript w zestawie Ledger Connect Kit, co umożliwiło mu drenaż środków od ofiar korzystających ze zdecentralizowanych aplikacji finansowych (DeFi).
W rezultacie Ledger zobowiązał się do zapewnienia, że ofiary, niezależnie od tego, czy są klientami firmy, odzyskają skradzione środki w taki czy inny sposób do końca lutego przyszłego roku:
„Jesteśmy zobowiązani, wszelkimi możliwymi środkami, w tym gestami dobrej woli, do zapewnienia, że zostanie to zrobione do końca lutego 2024 roku. Jesteśmy już w kontakcie z wieloma poszkodowanymi użytkownikami i aktywnie pracujemy z nimi nad szczegółami.”
Nieszyfrowane podpisy do czerwca
Jednym z elementów, które mogłyby spowolnić drenaż funduszy, są wyraźne podpisy. Jednak ślepe podpisywanie jest nadal zbyt rozpowszechnione w ekosystemie DeFi, co oznacza, że nie można dokładnie wiedzieć, co jest zaangażowane w transakcję, która została autoryzowana.
Ułatwia to występowanie incydentów bezpieczeństwa, takich jak ten. Na przykład haker może skuteczniej przeprowadzić atak front-end na zdecentralizowaną aplikację (DApp), tak aby jej użytkownicy podpisali transakcję dającą prawa do fałszywego inteligentnego kontraktu, a nie do DApp.
Przy podpisywaniu na ślepo trudniej jest zidentyfikować takie próby przejęcia. W związku z tym Ledger ogłasza, że do czerwca 2024 r. nie będzie to już możliwe w przypadku ich urządzeń.
Aby to osiągnąć, firma zaprasza programistów do zintegrowania funkcji „Clear Signing” z ich aplikacjami:
Jedynym niezawodnym środkiem zaradczym przeciwko tego typu atakom jest zawsze sprawdzanie, na co wyrażasz zgodę na swoim urządzeniu. Jest to możliwe tylko dzięki funkcji Clear Signing: oznacza to, że możesz zobaczyć i zweryfikować dokładnie to, co podpisujesz na bezpiecznym ekranie. Jeśli ekosystem nadal będzie zezwalał na podpisywanie „na ślepo”, użytkownicy pozostaną narażeni na ryzyko. Wzywamy deweloperów DApp do wspierania cegiełki bezpieczeństwa Clear Signing.”
Ponadto firma wzywa osoby, które przyznały uprawnienia do DApps dotkniętych 14 grudnia, do cofnięcia tych uprawnień. Można to zrobić za pomocą usług takich jak Revoke.cash.
Ponadto utworzono stronę pomocy dla ofiar, a Ledger ostrzega również przed próbami phishingu, wskazując, że na X jego dwa oficjalne konta to @ledger i @ledger_support.
