加密硬件钱包提供商 Ledger 将在12 月 14 日Ledger Connect Kit 软件库遭到攻击后对交易签名流程进行更改。Ledger 在周三的一篇帖子中写道:“我们知道大约 60 万美元的资产受到影响,这些资产是从 EVM DApp 上盲签名的用户那里被盗的。 ”
Ledger 承诺与 DApp 生态系统合作,以允许清晰签名,并在 2024 年 6 月之前不再允许使用 Ledger 设备进行盲签名。
该公司表示,因该漏洞而损失资金的 Ledger 和非 Ledger 客户都将在 2024 年 2 月下旬恢复正常,那些在受影响的 DApp 上签署交易的人应撤销未经授权的交易,以防止恶意代码被攻击。进一步影响他们。
Ledger 写道:“我们的承诺是与社区和 DApp 生态系统合作,允许 Clear Signing,以便用户可以在签名之前验证 Ledger 设备上的所有交易。这将产生一个新标准来保护用户并鼓励跨 DApps 进行 Clear Signing。”
盲签名是指向用户提供可由计算机解释但人类无法读取的原始数据,以使用其私钥批准链上交易的过程。Ledger 在 2022 年 6 月的一篇文章中解释说,清晰签名 总结了 一笔交易,供用户在执行交易之前查看和理解。
据此前报道,上周,一个影响多个去中心化应用程序的严重漏洞影响了 Ledger 所依赖的软件库。可能由于软件库的特定内容交付网络受到损害,恶意代码已被注入应用程序的前端,从而使攻击者能够窃取资产。
Ledger 在识别恶意代码后将其删除,但第三方组织估计,当时大约有 50 万美元的资金受到影响。
这种恶意代码被称为 Angel Drainer 恶意软件,它将用户资产重新路由到黑客的钱包中。该公司在详细的漏洞描述中表示,这次攻击始于对一名前 Ledger 员工的复杂的网络钓鱼攻击,该员工的访问权限没有被及时手动撤销。
