Производитель аппаратного кошелька Ledger отреагировал на недавнее нарушение безопасности, приведшее к краже пользовательских активов на сумму 600 000 долларов.
Компания обязалась улучшить свои протоколы безопасности, устранив к июню 2024 года слепое подписание — процесс, при котором транзакции отображаются в коде, а не на простом языке.
Ledger берет на себя ответственность за атаку ConnectKit
В своем заявлении Ledger подчеркнул, что уделяет особое внимание устранению недавнего инцидента безопасности и предотвращению подобных происшествий в будущем.
Компания признала, что в результате атаки ConnectKit пострадали активы на сумму около 600 000 долларов США, особенно затронувшие слепую подпись пользователей в децентрализованных приложениях (dApps) виртуальной машины Ethereum (EVM).
Кроме того, Ledger пообещала обеспечить полную компенсацию пострадавшим, в том числе клиентам, не являющимся клиентами Ledger, а генеральный директор и председатель Паскаль Готье лично будет контролировать процесс реституции.
Согласно заявлению, Ledger уже инициировал контакт с затронутыми пользователями и активно работает с ними над разрешением их конкретных случаев.
Кроме того, к июню 2024 года слепая подпись больше не будет поддерживаться на устройствах Ledger, что будет способствовать созданию «нового стандарта защиты пользователей» и пропаганде «Четкой подписи», которая относится к процессу, позволяющему пользователям проверять транзакции. на своих устройствах Ledger, прежде чем подписывать их в децентрализованных приложениях.
По этому поводу генеральный директор Ledger Паскаль Готье заявил:
Мое личное обязательство: Ledger выделит как можно больше внутренних и внешних ресурсов, чтобы помочь пострадавшим лицам вернуть свои активы.
Усиленные меры безопасности децентрализованных приложений
Согласно отчету об инциденте, опубликованному производителем аппаратного кошелька, атака использовала комплект Ledger Connect и внедряла вредоносный код в децентрализованные приложения, использующие этот комплект.
Этот вредоносный код перенаправлял активы в кошельки злоумышленника, заставляя пользователей EVM dApp «неосознанно подписывать транзакции», которые опустошали их кошельки.
Ledger отразил атаку, развернув подлинное исправление для Connect Kit в течение 40 минут после обнаружения. Скомпрометированный код оставался доступным в течение ограниченного времени из-за особенностей сетей доставки контента (CDN) и механизмов кэширования.
Ledger признал риски, с которыми сталкивается вся отрасль при защите пользователей, и подчеркнул необходимость постоянно поднимать планку безопасности в децентрализованных приложениях.
Компания планирует усилить контроль доступа, провести аудит внутренних и внешних инструментов, усилить подписывание кода, а также улучшить системы мониторинга и оповещения инфраструктуры.
Кроме того, Ledger будет информировать пользователей о важности прозрачной подписи и потенциальных рисках, связанных со слепой подписью транзакций без безопасного отображения.
Примечательно, что благодаря функции Clear Signing пользователям предоставляется четкое и удобочитаемое представление деталей транзакции, что позволяет им просмотреть и подтвердить транзакцию перед предоставлением своей подписи.
Этот дополнительный уровень прозрачности и проверки помогает пользователям снизить риски, связанные с внешними атаками или внедрением вредоносного кода в децентрализованные приложения.
Рекомендуемое изображение с Shutterstock, диаграмма с TradingView.com