硬件錢包制造商 Ledger 宣布計劃在 2024 年 6 月之前禁用以太坊虛擬機 (EVM) 去中心化應用程序 (DApp) 的盲簽名。

這一決定是針對一個漏洞的回應，該漏洞被添加到眾多 DApp 用于連接 Ledger 設備的庫中。

Ledger 宣布賠償受害者的計劃

Ledger 在推文中透露，在最近的攻擊中，大約 60 萬美元的加密資產被盜。

為了應對安全漏洞，該公司宣布承諾賠償受影響的受害者。

它宣布將在 2024 年 6 月之前停止使用 Ledger 設備進行盲簽名的做法。盲簽名涉及顯示原始智能合約簽名數據，計算機可讀，但人類無法讀取。

該公司決定逐步淘汰盲簽名，這是朝著建立新標準邁出的一步，以加強用戶保護并促進去中心化應用程序中的清晰簽名。

Ledger敦促DApp開發者支持明確簽名，并強調其致力于防止未來發生此類事件，確保生態系統的安全。

據 Ledger 稱，被盜資產來自 EVM DApp 上盲簽名的用戶。

賬本漏洞利用資金流失

在上周的最新漏洞中，Twitter 上的開發人員發現了 Ledger Connect Kit 的惡意版本，這是一個促進 Ledger 設備和 DApp 之間連接的庫。

根據 Web3 安全公司 BlockAid 的說法，攻擊者將錢包耗盡的有效負載注入到 Ledger Connect Kit 的 NPM 包中，從而使他們能夠從簽署 Sushi.com 和 Hey.xyz 等 DApp 的用戶那里榨取資金。

軟件錢包開發商 MetaMask 在得知攻擊消息后警告用戶“停止使用 DApp”。

在隨后的聲明中，萊杰證實此次攻擊是由于一名前員工成為網絡釣魚攻擊的受害者而發生的。

攻擊者訪問了前員工的 NPMJS 帳戶，允許他們推送 Ledger Connect Kit 的惡意版本。

這個受損的 Connect Kit 將用戶資金從連接到使用它的 DApp 的任何錢包重新路由到黑客的錢包。

Ledger 反應迅速，在安全團隊發出警報后 40 分鐘內部署了修復程序。

同時，新版本的Connect Kit (1.1.8) 已經發布。

該漏洞并未危害 Ledger 設備和 Ledger Live 應用程序。

值得注意的是，Ledger 因其安全性而面臨批評。

2020 年，Ledger 客戶電子郵件數據庫遭到黑客攻擊，導致超過 100 萬封用戶電子郵件被泄露。

今年早些時候，Ledger 的基于 ID 的自愿恢復服務也受到了用戶的批評，一些人稱其為“后門”。

熱點：烏西丹 加拉 計劃 迪馬