在黑客攻击影响其 Connect Kit 之后,Ledger 承诺将在 2024 年 2 月底之前赔偿受害者。回顾已采取的行动
莱杰承诺向 12 月 14 日黑客攻击事件的受害者提供帮助
。
上周,Ledger 的 Connect Kit 遭到黑客攻击,导致签署欺诈性授权的用户损失约 60 万美元。
事件发生后不久,该公司首席执行官帕斯卡尔-高迪尔(Pascal Gauthier)承诺,Ledger 将投入 “尽可能多的内部和外部资源,帮助受影响者恢复资产”。
本周三,这家硬件钱包制造商重申了这一承诺:
。
我们将100%地专注于上周安全事件的后续工作,确保今后防止类似事件的发生,并确保生态系统的安全。
据我们所知,约有 60 万美元的资产受到影响,这些资产是从用户盲目登录 EVM DApps 时盗取的。
Ledger…
– Ledger (@Ledger) December 20, 2023
简单提醒一下,黑客设法在 Ledger Connect Kit 中的 JavaScript 库中引入了恶意代码,这使他能够从与去中心化金融应用程序(DeFi)交互的受害者那里抽走资金。
因此,Ledger 承诺确保受害者(无论是否为公司客户)在明年 2 月底之前以某种方式追回被盗资金:
“我们承诺,通过一切可能的方式,包括善意的姿态,确保在 2024 年 2 月底之前完成这项工作。我们已与许多受影响的用户取得联系,并正积极与他们商讨细节。
6月前全面实现未加密签名
可以减缓资金流失的因素之一是清晰的签名。然而,盲签名在 DeFi 生态系统中仍然过于普遍,这意味着无法确切知道已获授权的交易涉及哪些内容。
这使得类似的安全事件更容易发生。例如,黑客可以更有效地对去中心化应用程序(DApp)进行前端攻击,使其用户签署交易,将权利授予欺诈性智能合约,而不是 DApp 的智能合约。
有了盲签名,就更难识别这些企图劫持的行为。因此,Ledger 宣布,到 2024 年 6 月,他们的设备将不再可能出现这种情况。
为此,该公司邀请开发人员将 “清除签名 “功能集成到他们的应用程序中:
针对此类攻击的唯一万无一失的对策是始终检查您在设备上同意的内容。只有 “清晰签名 “才能做到这一点:这意味着您可以在安全屏幕上看到并验证您所签名的内容。如果生态系统继续允许盲签名,用户仍将面临风险。我们敦促 DApp 开发者支持 Clear Signing 安全砖。
此外,该公司还呼吁在 12 月 14 日向受影响的 DApp 授予权限的用户撤销这些权限。可以使用 Revoke.cash 等服务来撤销这些权限。
此外,该公司还为受害者设立了一个帮助页面,并警告说,X 平台上的两个官方账户分别是 @ledger 和 @ledger_support.
。
