Na sequência do hack que afectou o seu Connect Kit, a Ledger comprometeu-se a indemnizar as vítimas até ao final de fevereiro de 2024. Um olhar sobre as acções tomadas
Ledger promete ajuda às vítimas do hack de 14 de dezembro
Na semana passada, o Connect Kit da Ledger foi pirateado, resultando em aproximadamente 600.000 dólares em perdas para os utilizadores que assinaram autorizações fraudulentas.
Logo após o incidente, o CEO da empresa, Pascal Gauthier, prometeu que Ledger dedicaria “tantos recursos internos e externos quanto possível para ajudar os afetados a recuperar seus ativos”.
Na quarta-feira, o fabricante da carteira de hardware reiterou essa promessa:
Estamos 100% focados no acompanhamento do incidente de segurança da semana passada, garantindo que incidentes como este sejam evitados no futuro e que o ecossistema permaneça seguro.
Estamos cientes de aproximadamente $600k em ativos afetados, roubados de usuários que assinam cegamente em EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Como um breve lembrete, o hacker conseguiu introduzir código malicioso numa biblioteca JavaScript no Ledger Connect Kit, o que lhe permitiu drenar fundos das vítimas que interagem com aplicações financeiras descentralizadas (DeFi).
Como resultado, a Ledger comprometeu-se a garantir que as vítimas, quer sejam ou não clientes da empresa, recuperem os fundos roubados de uma forma ou de outra até ao final de fevereiro do próximo ano:
“Estamos empenhados, por todos os meios possíveis, incluindo gestos de boa vontade, em garantir que isso seja feito até ao final de fevereiro de 2024. Já estamos em contacto com muitos utilizadores afectados e estamos a trabalhar ativamente com eles sobre os pormenores. “
Assinaturas não encriptadas em toda a linha até junho
Um dos elementos que poderia ter abrandado a drenagem de fundos são as assinaturas claras. No entanto, a assinatura cega ainda está demasiado difundida no ecossistema DeFi, o que significa que não é possível saber exatamente o que está envolvido numa transação que foi autorizada.
Este facto facilita a ocorrência de incidentes de segurança como este. Por exemplo, um pirata informático pode atacar mais eficazmente uma aplicação descentralizada (DApp), fazendo com que os seus utilizadores assinem uma transação que dá direitos a um contrato inteligente fraudulento e não ao DApp.
Com a assinatura cega, é mais difícil identificar essas tentativas de sequestro. A Ledger anuncia, portanto, que isso não será mais possível com seus dispositivos até junho de 2024.
Para conseguir isso, a empresa está convidando os desenvolvedores a integrar seu recurso “Clear Signing” em seus aplicativos:
A única contramedida infalível contra este tipo de ataque é verificar sempre o que está a consentir no seu dispositivo. Isto só é possível com a Assinatura Clara: o que significa que pode ver e verificar exatamente o que está a assinar num ecrã seguro. Se o ecossistema continuar a permitir a assinatura cega, os utilizadores continuam em risco. Pedimos aos criadores de DApp que apoiem o tijolo de segurança Clear Signing. “
Além disso, a empresa está a apelar às pessoas que concederam permissões aos DApps afectados em 14 de dezembro para revogarem essas permissões. Isso pode ser feito usando serviços como o Revoke.cash.
Além disso, foi criada uma página de ajuda para as vítimas e a Ledger também está a alertar contra tentativas de phishing, salientando que no X, as suas duas contas oficiais são @ledger e @ledger_support.
