錢包製造商Ledger 在其去中心化應用程式(dApp) 庫遭受攻擊造成用戶損失後宣布了補救計劃。根據製造商本身的數據,最近的故障導致超過60 萬美元的加密貨幣被盜,約合300 萬雷亞爾。
因此,該公司透露計劃在2024 年6 月之前禁用以太坊虛擬機(EVM) 去中心化應用程式(DApp) 的盲簽。這是導致失敗並進而導致加密貨幣被盜的機制之一。
在這個缺陷中,有人設法將錢包耗盡程式添加到多個dApp 使用的庫中,以連接到Ledger 裝置。由於該惡意程序,透過該庫連接的用戶遭受了損失。
Ledger宣布賠償受害者的計劃
Ledger 在推文中證實,在最近的攻擊中,約60 萬美元的加密貨幣資產被盜。該公司保證將賠償所有損失資金的受害者。此外,它還表示將在2024 年6 月之前停止使用Ledger 設備進行盲簽名的做法。
盲簽名涉及顯示原始智能合約簽名資料。這些資料可以被電腦讀取,但不能被人類讀取。因此,如果合約自動激活,它們可能會導致問題。
該公司決定逐步淘汰盲簽名,這是朝著建立新標準邁出的一步,以改善用戶保護並在去中心化應用程式中推廣清晰簽名。對此,製造商敦促DApp開發者支持明確簽名,並強調將致力於透過確保生態系統的安全來防止未來發生此類事件。
據Ledger 稱,被盜資產是從在DApp 上盲目簽署交易的用戶那裡獲取的。
失敗導致資金被盜
在上週最近的攻擊中,X(以前稱為Twitter)開發人員發現了Ledger Connect Kit 的惡意版本,該工具包是一個促進Ledger 裝置和DApp 之間連接的程式庫。攻擊者將惡意軟體注入到Ledger Connect Kit NPM 套件中,從而使他們能夠耗盡用戶資金。
軟體錢包開發商MetaMask 在得知攻擊訊息後警告用戶「停止使用dApp」。 Ledger在隨後的聲明中證實了這次襲擊。據該公司稱,這次行動的發生是因為一名前員工是網路釣魚攻擊的受害者。
攻擊者訪問了前員工的NPMJS 帳戶,允許他提交惡意版本的Ledger Connect。這個受感染的程式將用戶資金從連接到dApp 的任何錢包重定向到駭客的錢包。
Ledger 反應迅速,在收到安全團隊警報後40 分鐘內部署了修復程序。同時,新版本的Connect Kit(1.1.8)已經發布。該漏洞並未危害Ledger 裝置和Ledger Live 應用程式。
值得注意的是,Ledger 因其安全性而面臨批評。 2020 年,Ledger 客戶電子郵件資料庫遭到駭客攻擊,導致超過100 萬封用戶電子郵件外洩。今年早些時候,志願服務Recover也受到了用戶的批評,有些人稱其為可能竊取密碼的「後門」。
資訊來源:由0x資訊編譯自CRIPTOFACIL。版權歸作者Luciano Rocha所有,未經許可,不得轉載
