Ledger遭駭後新政策》禁用Dapp盲簽...

首頁
資訊
Ledger遭駭後新政策》禁用Dapp盲簽直到明年6月，對用戶有什麼影響？

Ledger遭駭後新政策》禁用Dapp盲簽直到明年6月，對用戶有什麼影響？

發表於 2023-12-21 11:01 作者：區塊鏈情報速遞pro

知名加密貨幣冷錢包 Ledger 在上週 14 日遭遇攻擊後，表示將在明年 6 月底之前，全面取消在 Ledger 設備上進行盲簽，而以清晰簽名（Clear Signing）替代，以提高安全性。（前情提要：Ledger遭駭引爆DeFi災難：牽連項目、損失金額、駭客是誰..一文整理）（背景補充：Ledger執行長回應被駭：全力追回資金！安全版本已上線、建議等待24小時再操作）

本文目錄

加密貨幣冷錢包 Ledger 在 12 月 14 日因 Connect Kit 遭植入惡意程式碼，導致 Web3 領域多個項目受影響，一度要求所有用戶暫時不要與任何 Dapp（去中心化應用程式）互動。

事隔一週後，Ledger 官網昨（20）日稍晚發佈文章詳細披露了此次攻擊事件的過程及原因，並宣布在 2024 年 6 月底前，將暫停在 Ledger 設備上使用盲簽（Blind Signing），轉而用清晰簽名（Clear Signing）替代。

Ledger 被駭原因及時間線整理

據 Ledger 官方部落格文章說明，駭客於 12 月 14 日利用了 Ledger Connect Kit 漏洞，並透過在與其互動的 Dapp（去中心化應用程式）中注入惡意代碼，欺騙 EVM Dapp 用戶簽署交易，從而盜取錢包資產，具體時間線如下：

12 月 14 日上午：一名 Ledger 前員工遭遇網路釣魚攻擊，盜取了該前員工對 NPMJS（應用程式之間共享 Javascript 程式碼的管理器）的訪問權限
12 月 14 日上午 9:49/10:44/11:37：駭客在 NPMJS 上發佈了攜帶惡意代碼的 Ledger Connect Kit 版本（版本 1.1.5、1.1.6 和 1.1.7），並利用 WalletConnect 將用戶資產導向駭客錢包
12 月 14 日下午 1:45：各大相關項目方及 Ledger 發現攻擊
12 月 14 日下午 2:18：Ledger 在收到攻擊警報 40 分鐘後更新了 Ledger Connect Kit 版本，WalletConnect 也禁用了相關通道
12 月 14 日下午 2:55：經調解，美元穩定幣 USDT 發行商 Tether 凍結駭客所盜資金

Ledger：明年 6 月底前禁用盲簽

Ledger 官方表示目前受損金額共計約 60 萬美元，這些資產均是駭客從 EVM DApp 上盲簽用戶那裡盜取的，官方承諾，將在 2024 年 2 月底之前，幫助用戶追回被盜資金。

更重要的是，Ledger 還表示在 2024 年 6 月底之前，將全面禁止在 Ledger 設備上進行盲簽，轉而以 Clear Signing 取代，以確保用戶可以在簽名之前驗證 Ledger 設備上的所有交易：

這將產生一個新的標準來保護用戶並鼓勵用戶在使用 Dapp 時採用 Clear Signing。

前端攻擊已經發生了很多次，且將繼續困擾我們的生態系統，而針對此類攻擊的萬全之策則是始終驗證用戶在設備上的交易內容，而這只有 Clear Signing 才能實現：這意味著用戶可以在設備上準確查看和驗證自己所簽署的內容，如果繼續使用盲簽，用戶仍然面臨著類似的風險。

We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.

We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.

Ledger…

— Ledger (@Ledger) December 20, 2023