时间:2023-12-22|浏览:289
硬件钱包制造商 Ledger 宣布计划在 2024 年 6 月之前禁用以太坊虚拟机 (EVM) 去中心化应用程序 (DApp) 的盲签名。
这一决定是针对一个漏洞的回应,该漏洞被添加到众多 DApp 用于连接 Ledger 设备的库中。
Ledger 宣布赔偿受害者的计划
Ledger 在推文中透露,在最近的攻击中,大约 60 万美元的加密资产被盗。 为了应对安全漏洞,该公司宣布承诺赔偿受影响的受害者。
它宣布将在 2024 年 6 月之前停止使用 Ledger 设备进行盲签名的做法。盲签名涉及显示原始智能合约签名数据,计算机可读,但人类无法读取。 该公司决定逐步淘汰盲签名,这是朝着建立新标准迈出的一步,以加强用户保护并促进去中心化应用程序中的清晰签名。
Ledger敦促DApp开发者支持明确签名,并强调其致力于防止未来发生此类事件,确保生态系统的安全。
据 Ledger 称,被盗资产来自 EVM DApp 上盲签名的用户。
账本漏洞利用资金流失
在上周的最新漏洞中,Twitter 上的开发人员发现了 Ledger Connect Kit 的恶意版本,这是一个促进 Ledger 设备和 DApp 之间连接的库。
根据 Web3 安全公司 BlockAid 的说法,攻击者将钱包耗尽的有效负载注入到 Ledger Connect Kit 的 NPM 包中,从而使他们能够从签署 Sushi.com 和 Hey.xyz 等 DApp 的用户那里榨取资金。
软件钱包开发商 MetaMask 在得知攻击消息后警告用户“停止使用 DApp”。 在随后的声明中,莱杰证实此次攻击是由于一名前员工成为网络钓鱼攻击的受害者而发生的。
攻击者访问了前员工的 NPMJS 帐户,允许他们推送 Ledger Connect Kit 的恶意版本。 这个受损的 Connect Kit 将用户资金从连接到使用它的 DApp 的任何钱包重新路由到黑客的钱包。
Ledger 反应迅速,在安全团队发出警报后 40 分钟内部署了修复程序。 同时,新版本的Connect Kit (1.1.8) 已经发布。 该漏洞并未危害 Ledger 设备和 Ledger Live 应用程序。
值得注意的是,Ledger 因其安全性而面临批评。 2020 年,Ledger 客户电子邮件数据库遭到黑客攻击,导致超过 100 万封用户电子邮件被泄露。 今年早些时候,Ledger 的基于 ID 的自愿恢复服务也受到了用户的批评,一些人称其为“后门”。