硬件钱包提供商 Ledger 宣布打算赔偿受害者因最近的 ConnectKit 漏洞而损失的约 60 万美元资产。在 12 月 20 日 X(前 Twitter)上的一份声明中,该公司保证将在 2024 年 2 月底之前补偿损失的资产。
这家加密钱包制造商还透露,它已经联系了受影响的受害者,并正在积极解决所有恢复细节,以确保无缝支付流程。
同时,建议在连接到 ConnectKit 的所有被利用的去中心化应用程序(dApp)上签署交易的用户撤销所有授权交易,以尽量减少与违规相关的潜在风险。
12 月 14 日,Cryptonews报道称,多个使用 Ledger ConnectKit的 dApp (包括 Zapper、SushiSwap、Phantom、Balancer 和 Revoke.cash)的用户界面受到了损害。
SushiSwap 的首席技术官 (CTO) Matthew Lilley 是最早发现并报告该问题的人之一。他指出了广泛使用的 Web3 连接器的妥协,该连接器允许将恶意代码注入到多个去中心化应用程序 (dApp) 中。
在发现安全漏洞大约三个小时后,Ledger确认该文件的恶意版本已被替换为真实版本。Ledger 重申致力于加强安全措施,以加强生态系统并防止未来发生事件。
根据这一承诺,该公司计划与 dApp 生态系统合作,实施清晰签名,并在 2024 年 6 月之前停止其设备上的盲签名功能,清晰签名功能将使用户能够在批准之前仔细检查和验证交易详细信息。
通过清晰签名,钱包爱好者可以直接检查重要信息,例如交易金额、收件人地址以及其 Ledger 设备或其他安全显示器上的其他相关详细信息。
据该公司称,这一验证过程使用户能够做出明智的决定并确认他们即将授权的交易的准确性。
该加密钱包提供商还呼吁 dApp 开发人员通过构建支持新安全功能的应用程序来优先考虑客户对去中心化生态系统的安全和信任。
