Ledger, produttore di portafogli hardware, ha annunciato l'intenzione di disabilitare la firma cieca per le applicazioni decentralizzate (DApp) di Ethereum Virtual Machine (EVM) entro giugno 2024.
La decisione arriva in risposta a un exploit in cui un raccoglitore di portafogli è stato aggiunto a una libreria utilizzata da numerose DApp per connettersi ai dispositivi Ledger.
Ledger annuncia un piano per risarcire le vittime
In un tweet, Ledger ha rivelato che durante il recente exploit sono stati rubati circa 600.000 dollari in criptovalute. In risposta alla violazione della sicurezza, l’azienda ha annunciato il proprio impegno a risarcire le vittime colpite.
Ha dichiarato che interromperà la pratica della firma cieca con dispositivi Ledger entro giugno 2024.
Siamo concentrati al 100% nel dare seguito all’incidente di sicurezza della scorsa settimana, assicurandoci che incidenti come questo vengano prevenuti in futuro e che l’ecosistema rimanga sicuro.
Siamo a conoscenza di circa 600.000 dollari di asset interessati, rubati agli utenti che firmavano alla cieca sulle DApp EVM.
Registro…
– Ledger (@Ledger) 20 dicembre 2023
La firma cieca prevede la visualizzazione di dati grezzi di firma del contratto intelligente, leggibili dai computer ma non dagli esseri umani. La decisione dell'azienda di eliminare gradualmente la firma cieca è un passo verso la creazione di un nuovo standard per migliorare la protezione degli utenti e promuovere la firma chiara nelle applicazioni decentralizzate.
Ledger ha esortato gli sviluppatori di DApp a supportare una firma chiara e ha sottolineato il suo impegno nel prevenire tali incidenti in futuro, garantendo la sicurezza dell'ecosistema.
Secondo Ledger, le risorse rubate sono state sottratte agli utenti che firmavano alla cieca sulle DApp EVM.
Gli exploit dei registri prosciugano i fondi
Nel recente exploit della scorsa settimana, gli sviluppatori su Twitter hanno identificato una versione dannosa del Ledger Connect Kit, una libreria che facilita la connessione tra i dispositivi Ledger e le DApp.
Secondo la società di sicurezza Web3 BlockAid, l'aggressore ha iniettato un payload che drena il portafoglio nel pacchetto NPM del Ledger Connect Kit, consentendo loro di drenare fondi dagli utenti che hanno firmato su DApp come Sushi.com e Hey.xyz.
MetaMask, uno sviluppatore di portafogli software, ha avvertito gli utenti di "smettere di usare DApp" dopo la notizia dell'attacco. In una successiva dichiarazione, Ledger ha confermato che l'attacco è avvenuto a causa di un ex dipendente caduto vittima di un attacco di phishing.
L'aggressore ha avuto accesso all'account NPMJS dell'ex dipendente, consentendogli di inviare una versione dannosa del Ledger Connect Kit. Questo Connect Kit compromesso ha reindirizzato i fondi degli utenti da qualsiasi portafoglio connesso a una DApp utilizzandolo al portafoglio dell'hacker.
Ledger ha risposto rapidamente, implementando una soluzione entro 40 minuti dall'avviso dei suoi team di sicurezza. Nel frattempo è stata rilasciata una nuova versione del Connect Kit (1.1.8). L'exploit non ha compromesso i dispositivi Ledger e l'app Ledger Live.
Vale la pena notare che Ledger ha dovuto affrontare critiche sulla sua sicurezza. Nel 2020, un database di posta elettronica dei clienti Ledger è stato violato, esponendo oltre un milione di email di utenti. All'inizio di quest'anno, anche il servizio volontario Recover basato su ID di Ledger ha ricevuto critiche da parte degli utenti, alcuni lo hanno definito una "backdoor".
Il post Ledger annuncia i piani per risolvere i problemi relativi alle recenti vulnerabilità: i dettagli sono apparsi per primi su CryptoPotato .