硬件錢(qián)包制造商 Ledger 宣布計(jì)劃在 2024 年 6 月之前禁用以太坊虛擬機(jī) (EVM) 去中心化應(yīng)用程序 (DApp) 的盲簽名。

這一決定是針對(duì)一個(gè)漏洞的回應(yīng)，該漏洞被添加到眾多 DApp 用于連接 Ledger 設(shè)備的庫(kù)中。

Ledger 宣布賠償受害者的計(jì)劃

Ledger 在推文中透露，在最近的攻擊中，大約 60 萬(wàn)美元的加密資產(chǎn)被盜。

為了應(yīng)對(duì)安全漏洞，該公司宣布承諾賠償受影響的受害者。

它宣布將在 2024 年 6 月之前停止使用 Ledger 設(shè)備進(jìn)行盲簽名的做法。盲簽名涉及顯示原始智能合約簽名數(shù)據(jù)，計(jì)算機(jī)可讀，但人類(lèi)無(wú)法讀取。

該公司決定逐步淘汰盲簽名，這是朝著建立新標(biāo)準(zhǔn)邁出的一步，以加強(qiáng)用戶保護(hù)并促進(jìn)去中心化應(yīng)用程序中的清晰簽名。

Ledger敦促DApp開(kāi)發(fā)者支持明確簽名，并強(qiáng)調(diào)其致力于防止未來(lái)發(fā)生此類(lèi)事件，確保生態(tài)系統(tǒng)的安全。

據(jù) Ledger 稱(chēng)，被盜資產(chǎn)來(lái)自 EVM DApp 上盲簽名的用戶。

賬本漏洞利用資金流失

在上周的最新漏洞中，Twitter 上的開(kāi)發(fā)人員發(fā)現(xiàn)了 Ledger Connect Kit 的惡意版本，這是一個(gè)促進(jìn) Ledger 設(shè)備和 DApp 之間連接的庫(kù)。

根據(jù) Web3 安全公司 BlockAid 的說(shuō)法，攻擊者將錢(qián)包耗盡的有效負(fù)載注入到 Ledger Connect Kit 的 NPM 包中，從而使他們能夠從簽署 Sushi.com 和 Hey.xyz 等 DApp 的用戶那里榨取資金。

軟件錢(qián)包開(kāi)發(fā)商 MetaMask 在得知攻擊消息后警告用戶“停止使用 DApp”。

在隨后的聲明中，萊杰證實(shí)此次攻擊是由于一名前員工成為網(wǎng)絡(luò)釣魚(yú)攻擊的受害者而發(fā)生的。

攻擊者訪問(wèn)了前員工的 NPMJS 帳戶，允許他們推送 Ledger Connect Kit 的惡意版本。

這個(gè)受損的 Connect Kit 將用戶資金從連接到使用它的 DApp 的任何錢(qián)包重新路由到黑客的錢(qián)包。

Ledger 反應(yīng)迅速，在安全團(tuán)隊(duì)發(fā)出警報(bào)后 40 分鐘內(nèi)部署了修復(fù)程序。

同時(shí)，新版本的Connect Kit (1.1.8) 已經(jīng)發(fā)布。

該漏洞并未危害 Ledger 設(shè)備和 Ledger Live 應(yīng)用程序。

值得注意的是，Ledger 因其安全性而面臨批評(píng)。

2020 年，Ledger 客戶電子郵件數(shù)據(jù)庫(kù)遭到黑客攻擊，導(dǎo)致超過(guò) 100 萬(wàn)封用戶電子郵件被泄露。

今年早些時(shí)候，Ledger 的基于 ID 的自愿恢復(fù)服務(wù)也受到了用戶的批評(píng)，一些人稱(chēng)其為“后門(mén)”。

熱點(diǎn)：烏西丹 加拉 計(jì)劃 迪馬