После взлома, затронувшего компанию Connect Kit, компания Ledger пообещала выплатить компенсацию пострадавшим до конца февраля 2024 года. Обзор принятых мер
Ledger обещает помощь жертвам взлома 14 декабря
На прошлой неделе Connect Kit компании Ledger был взломан, в результате чего пользователи, подписавшие мошеннические авторизации, потеряли около 600 000 долларов.
Вскоре после инцидента генеральный директор компании Паскаль Готье пообещал, что Ledger направит «столько внутренних и внешних ресурсов, сколько возможно, чтобы помочь пострадавшим вернуть свои активы».
В среду производитель аппаратных кошельков подтвердил это обещание:
Мы на 100% сосредоточены на том, чтобы принять меры в связи с инцидентом безопасности, произошедшим на прошлой неделе, убедиться, что подобные инциденты будут предотвращены в будущем, и что экосистема останется в безопасности.
Мы знаем, что пострадали активы на сумму около $600 тыс., украденные у пользователей, подписавшихся вслепую на EVM DApps.
Ledger…
— Ledger (@Ledger) Декабрь 20, 2023
Напомним, что хакеру удалось внедрить вредоносный код в библиотеку JavaScript в комплекте Ledger Connect Kit, что позволило ему выкачивать средства из жертв, взаимодействующих с децентрализованными финансовыми приложениями (DeFi).
В результате Ledger обязуется обеспечить возврат украденных средств жертвам, независимо от того, являются ли они клиентами компании или нет, тем или иным способом до конца февраля следующего года:
«Мы намерены всеми возможными способами, включая жесты доброй воли, добиться того, чтобы это было сделано к концу февраля 2024 года. Мы уже находимся в контакте со многими пострадавшими пользователями и активно работаем с ними над деталями. «
Нешифрованные подписи по всему миру к июню
Один из элементов, который мог бы замедлить утечку средств, — это чистые подписи. Однако в экосистеме DeFi до сих пор слишком широко распространены слепые подписи, а это значит, что невозможно точно узнать, что участвует в транзакции, которая была авторизована.
Это облегчает возникновение подобных инцидентов безопасности. Например, хакер может более эффективно провести фронтенд-атаку на децентрализованное приложение (DApp), чтобы его пользователи подписали транзакцию, передав права не DApp, а мошенническому смарт-контракту.
При слепой подписи выявить такие попытки захвата сложнее. Поэтому Ledger объявляет, что к июню 2024 года это станет невозможным для их устройств.
Для этого компания предлагает разработчикам интегрировать функцию «Clear Signing» в свои приложения:
Единственная надежная мера против этого типа атак — всегда проверять, на что вы соглашаетесь на своем устройстве. Это возможно только при использовании функции Clear Signing: это означает, что вы можете видеть и проверять, что именно вы подписываете, на защищенном экране. Если экосистема будет продолжать разрешать «слепую» подпись, пользователи по-прежнему будут подвергаться риску. Мы призываем разработчиков DApp поддержать кирпич безопасности Clear Signing. «
Кроме того, компания призывает людей, предоставивших 14 декабря разрешения затронутым DApp, отозвать эти разрешения. Это можно сделать с помощью таких сервисов, как Revoke.cash.
Кроме того, для пострадавших была создана страница помощи, а Ledger также предупреждает о попытках фишинга, указывая, что на X два ее официальных аккаунта — @ledger и @ledger_support.
