O fabricante de carteiras de hardware Ledger desativará a assinatura cega para aplicativos descentralizados EVM (dapps) até junho de 2024, após uma exploração em que um dreno de carteira foi adicionado a uma biblioteca usada por muitos desenvolvedores para se conectar a seus dispositivos.
Em um tweet, Ledger disse que cerca de US $ 600.000 em ativos criptográficos foram roubados durante a exploração. Ele anunciou que as vítimas afetadas seriam “recuperadas” e que “não permitiria mais a assinatura cega com dispositivos Ledger até junho de 2024.
A assinatura cega envolve a exibição de dados brutos de assinatura de contrato inteligente que podem ser analisados por computadores, mas são incompreensíveis para um leitor humano. Ledger já defendeu anteriormente uma abordagem “o que você vê é o que você assina” conhecida como assinatura clara, na qual a assinatura de contrato inteligente é analisada de uma maneira legível por humanos.
Em seu anúncio, Ledger afirmou que sua mudança para o fim da assinatura cega “levaria a um novo padrão para proteger os usuários e encorajar a assinatura clara em DApps” e encorajou os desenvolvedores dapp a apoiar a assinatura clara.
Estamos 100% focados em acompanhar o incidente de segurança da semana passada, garantindo que incidentes como esse sejam evitados no futuro e que o ecossistema permaneça seguro.
Estamos cientes de aproximadamente $600k em ativos afetados, roubados de usuários que assinam cegamente em EVM DApps.
Ledger…
– Ledger (@Ledger) December 20, 2023
Na exploração da semana passada, uma versão maliciosa do Ledger Connect Kit, uma biblioteca que permite que os dispositivos Ledger se conectem com dapps, foi identificada por desenvolvedores no Twitter. A empresa de segurança Web3 BlockAid relatou que, “O atacante injetou uma carga útil de drenagem de carteira” no pacote NPM do kit ledgerconnect “, permitindo-lhes drenar os fundos dos usuários que assinaram em dapps, incluindo Sushi.com e Hey.xyz.
O desenvolvedor da carteira de software MetaMask alertou os usuários para “parar de usar dapps” após a notícia do ataque.
Em um post de acompanhamento, Ledger confirmou que o ataque ocorreu como resultado de um ex-funcionário ser vítima de um ataque de phishing. O invasor conseguiu obter acesso à conta NPMJS do ex-funcionário, um gerenciador de pacotes JavaScript, permitindo que ele enviasse uma versão maliciosa do Ledger Connect Kit. O Connect Kit malicioso redireccionava os fundos dos utilizadores de qualquer carteira que se ligasse a um dapp que o utilizasse, para a carteira do próprio hacker.
A Ledger afirmou que foi implementada uma correção 40 minutos depois de as equipas de segurança da empresa terem sido alertadas, e lançou uma nova versão do Connect Kit (1.1.8). Os próprios dispositivos Ledger e a aplicação Ledger Live da empresa não foram comprometidos pela exploração, acrescentou.
A empresa já havia enfrentado críticas sobre sua segurança. Em 2020, um banco de dados de e-mail de clientes da Ledger foi hackeado, com mais de um milhão de e-mails de usuários comprometidos, enquanto no início deste ano o serviço voluntário de recuperação baseado em ID da Ledger foi apelidado de “backdoor” pelos usuários. O cofundador da Ledger, Éric Larchevêque, descreveu o lançamento do serviço Recover como “uma falha total de relações públicas, mas absolutamente não técnica”.
