硬件钱包制造商 Ledger 将在 2024 年 6 月前禁用 EVM 去中心化应用程序(dapps)的盲签功能。
Ledger 在一条推文中说,在这次漏洞事件中,约有 60 万美元的加密资产被盗。该公司宣布,受影响的受害者将 “得到补偿”,而且 “到 2024 年 6 月,将不再允许使用 Ledger 设备进行盲签”。
盲签是指显示原始的智能合约签署数据,这些数据可以被计算机解析,但人类读者无法理解。Ledger 此前一直倡导 “所见即所签 “的方法,即以人类可读的方式解析智能合约签署数据的清晰签署(clear signing)。
Ledger 在其公告中表示,其取消盲签的举措将 “带来新的标准,以保护用户并鼓励整个 DApp 的清晰签名”,并鼓励 dapp 开发者支持清晰签名。
我们 100% 专注于上周安全事件的后续工作,确保今后防止类似事件的发生,并确保生态系统的安全。
据我们所知,约有 60 万美元的资产受到影响,这些资产是从用户盲目登录 EVM DApps 时盗取的。
Ledger…
– Ledger (@Ledger) 2023年12月20日
。
在上周的漏洞中,开发者在 Twitter 上发现了恶意版本的 Ledger Connect Kit,这是一个能让 Ledger 设备与 dapps 连接的库。Web3安全公司BlockAid报告说:”攻击者在ledgerconnect工具包的NPM包中注入了一个钱包耗尽的有效载荷”,”使他们能够耗尽签署了dapps(包括Sushi.com和Hey.xyz)的用户的资金。
攻击消息传出后,软件钱包开发商 MetaMask 警告用户 “停止使用 dapps”。
在一篇后续文章中,Ledger 证实这次攻击是由于一名前员工成为网络钓鱼攻击的受害者。攻击者获得了该前员工的 JavaScript 包管理器 NPMJS 账户的访问权限,从而推送了恶意版本的 Ledger Connect Kit。然后,恶意连接工具包将用户资金从连接到使用该工具包的 dapp 的钱包转移到黑客自己的钱包。
Ledger表示,该公司的安全团队在接到警报后40分钟内就部署了修复程序,并推送了新版本的Connect Kit(1.1.8)。该公司补充说,Ledger 设备本身和该公司的 Ledger Live 应用程序没有受到漏洞攻击。
该公司此前曾因安全问题而受到批评。2020年,Ledger的一个客户电子邮件数据库遭到黑客攻击,超过一百万封用户电子邮件被泄露,而今年早些时候,Ledger基于自愿ID的Recover服务被用户称为 “后门”。Ledger的联合创始人埃里克-拉切维克(Éric Larchevêque)将Recover服务的推出描述为:”一次彻底的公关失败,但绝对不是技术上的失败。
