Производитель аппаратных кошельков Ledger отключит слепую подпись для децентрализованных приложений EVM (dapps) к июню 2024 года после эксплойта, в результате которого в библиотеку, используемую многими разработчиками для подключения к своим устройствам, была добавлена программа для кражи кошельков.
В своем твите компания Ledger сообщила, что в ходе эксплойта было похищено около 600 000 долларов криптоактивов. Компания объявила, что пострадавшие жертвы будут «компенсированы» и что она «больше не будет разрешать слепую подпись на устройствах Ledger к июню 2024 года».
Слепая подпись подразумевает отображение необработанных данных для подписания смарт-контракта, которые могут быть разобраны компьютером, но непонятны человеку. Ранее компания Ledger выступала за подход «что видишь, то и подписываешь», известный как «явное подписание», при котором данные смарт-контракта разбираются в человекочитаемом виде.
В своем объявлении Ledger заявила, что отказ от слепого подписания «приведет к появлению нового стандарта для защиты пользователей и поощрения ясного подписания в DApps», и призвала разработчиков dapp поддерживать ясное подписание.
Мы на 100% сосредоточены на принятии мер в связи с инцидентом безопасности, произошедшим на прошлой неделе, чтобы предотвратить подобные инциденты в будущем, и чтобы экосистема оставалась в безопасности.
Мы знаем, что пострадали активы на сумму около $600 тыс., украденные у пользователей, подписавшихся вслепую на EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
На прошлой неделе разработчики в Twitter обнаружили вредоносную версию Ledger Connect Kit — библиотеки, позволяющей устройствам Ledger подключаться к dapps. Компания BlockAid, специализирующаяся на безопасности Web3, сообщила, что «злоумышленник внедрил в NPM-пакет комплекта Ledgerconnect полезную нагрузку, истощающую кошельки», что позволило ему истощить средства пользователей, подписавшихся на dapps, включая Sushi.com и Hey.xyz.
Разработчик программного кошелька MetaMask предупредил пользователей «прекратить использование dapps» после появления новостей об атаке.
В последующем сообщении компания Ledger подтвердила, что атака произошла в результате того, что бывший сотрудник стал жертвой фишинговой атаки. Злоумышленник получил доступ к учетной записи NPMJS, менеджеру пакетов JavaScript, что позволило ему выложить вредоносную версию Ledger Connect Kit. Вредоносный Connect Kit перенаправлял средства пользователей с любого кошелька, подключенного к использующей его dapp, на собственный кошелек хакера.
Ledger заявила, что исправление было развернуто в течение 40 минут после того, как команды безопасности компании получили предупреждение, и выложила новую версию Connect Kit (1.1.8). Сами устройства Ledger и приложение Ledger Live не были скомпрометированы эксплойтом, добавила компания.
Ранее компания уже сталкивалась с критикой своей безопасности. В 2020 году была взломана база данных электронной почты клиентов Ledger, в результате чего было скомпрометировано более миллиона электронных писем пользователей, а в начале этого года сервис восстановления на основе добровольных идентификаторов Ledger был назван пользователями «черным ходом». Сооснователь Ledger Эрик Ларшевек назвал развертывание сервиса Recover «полным пиар-провалом, но абсолютно не техническим»