Компания LEDGER пообещала возместить $600 тыс. в криптоактивах, украденных при взломе ПО в середине декабря у пользователей, включая тех, кто не является клиентом Ledger. Разработчики криптокошельков заявили, что постараются сделать это к концу февраля 2024 года.
14 декабря кодовая библиотека Ledger Connect Kit, которую используют для авторизации многие крупные криптосервисы, была взломана хакером, что дало ему возможность внедрить в код так называемый дрейнер — вредоносный смарт-контракт, позволяющий списывать все средства с кошельков пользователей при взаимодействии с ним.
По данным Ledger, в результате инцидента пользователи потеряли около $600 тыс. При этом в Ledger признали, что кража активов была совершена при использовании жертвами «слепой подписи» (Blind Signing) транзакций децентрализованных приложений (dApps).
Зачастую при использовании устройства Ledger для одобрения и проведения транзакции аппарат не может отобразить все ее детали. Вместо этого устройство отображает сообщение, что данные транзакции им получены — «Data Present».
Так как деталей смарт-контракта не видно, то подтверждать транзакцию приходится на основе доверия, что и называется «слепая подпись».
В Ledger заявили, что к июню 2024 года компания планирует отказаться от использования «слепых подписей». Взамен планируется реализовать механизм «прозрачной» подписи (Clear Signing), когда пользователи могут проверять данные транзакций перед подписанием.
Глава Ledger Паскаль Готье назвал причиной взлома, произошедшего 14 декабря, фишинговую атаку на одного из бывших сотрудников. По словам Готье, Ledger и ее партнер WalletConnect смогли устранить уязвимость в течение 40 минут после обнаружения.
