Producent portfeli sprzętowych Ledger wyłączy ślepe podpisywanie dla zdecentralizowanych aplikacji EVM (dapps) do czerwca 2024 r., w następstwie exploita, w którym drenarka portfela została dodana do biblioteki używanej przez wielu programistów do łączenia się z jej urządzeniami.
W tweecie Ledger powiedział, że podczas exploita skradziono około 600 000 USD w aktywach kryptograficznych. Firma ogłosiła, że poszkodowane ofiary zostaną „naprawione” i że „nie będzie już zezwalać na podpisywanie na ślepo za pomocą urządzeń Ledger do czerwca 2024 r.”.
Ślepe podpisywanie polega na wyświetlaniu surowych danych podpisywania inteligentnych kontraktów, które mogą być analizowane przez komputery, ale są niezrozumiałe dla ludzkiego czytelnika. Ledger wcześniej opowiadał się za podejściem „to, co widzisz, jest tym, co podpisujesz”, znanym jako wyraźne podpisywanie, w którym podpisywanie inteligentnych kontraktów jest analizowane w sposób czytelny dla człowieka.
W swoim oświadczeniu Ledger stwierdził, że jego ruch w kierunku wycofania podpisywania na ślepo „doprowadzi do nowego standardu ochrony użytkowników i zachęci do wyraźnego podpisywania w DApps” i zachęcił programistów aplikacji do wspierania wyraźnego podpisywania.
Jesteśmy w 100% skoncentrowani na śledzeniu zeszłotygodniowego incydentu związanego z bezpieczeństwem, upewniając się, że takie incydenty będą zapobiegane w przyszłości, a ekosystem pozostanie bezpieczny.
Wiemy o około 600 tysiącach dolarów w aktywach, które zostały skradzione użytkownikom podpisującym DApps EVM w ciemno.
Ledger…
– Ledger (@Ledger) 20 grudnia 2023
W zeszłotygodniowym exploicie złośliwa wersja Ledger Connect Kit, biblioteki umożliwiającej urządzeniom Ledger łączenie się z dapps, została zidentyfikowana przez deweloperów na Twitterze. Firma BlockAid zajmująca się bezpieczeństwem Web3 poinformowała, że „atakujący wstrzyknął ładunek drenujący portfel” do pakietu NPM zestawu Ledgerconnect „, umożliwiając mu drenowanie środków użytkowników, którzy zalogowali się w dapps, w tym Sushi.com i Hey.xyz.
Twórca portfela oprogramowania MetaMask ostrzegł użytkowników, aby „przestali używać dapps” po tym, jak pojawiły się wiadomości o ataku.
W kolejnym poście Ledger potwierdził, że atak miał miejsce w wyniku tego, że były pracownik padł ofiarą ataku phishingowego. Atakujący był w stanie uzyskać dostęp do konta NPMJS byłego pracownika, menedżera pakietów JavaScript, umożliwiając mu wypchnięcie złośliwej wersji zestawu Ledger Connect Kit. Złośliwy zestaw Connect Kit przekierowywał następnie środki użytkowników z dowolnego portfela łączącego się z aplikacją, która go używa, do własnego portfela hakera.
Ledger oświadczył, że poprawka została wdrożona w ciągu 40 minut od zaalarmowania zespołów bezpieczeństwa firmy i wypuścił nową wersję zestawu Connect Kit (1.1.8). Dodano, że same urządzenia Ledger i aplikacja Ledger Live firmy nie zostały naruszone przez exploit.
Firma już wcześniej spotkała się z krytyką dotyczącą jej bezpieczeństwa. W 2020 roku baza danych e-mail klientów Ledger została zhakowana, a ponad milion e-maili użytkowników zostało naruszonych, podczas gdy na początku tego roku dobrowolna usługa Recover oparta na identyfikatorze Ledger została nazwana przez użytkowników „backdoorem”. Współzałożyciel Ledger, Éric Larchevêque, opisał wdrożenie usługi Recover jako „całkowitą porażkę PR, ale absolutnie nie techniczną”.
