Ledger遭駭後新政策》禁用Dapp盲簽直到明年6月,對用戶有什麼影響?

發表於 2023-12-21 11:01 作者: 區塊鏈情報速遞pro

知名加密貨幣冷錢包 Ledger 在上週 14 日遭遇攻擊後,表示將在明年 6 月底之前,全面取消在 Ledger 設備上進行盲簽,而以清晰簽名(Clear Signing)替代,以提高安全性。 (前情提要:Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰..一文整理) (背景補充:Ledger執行長回應被駭:全力追回資金!安全版本已上線、建議等待24小時再操作)

本文目錄

 

密貨幣冷錢包 Ledger 在 12 月 14 日因 Connect Kit 遭植入惡意程式碼,導致 Web3 領域多個項目受影響,一度要求所有用戶暫時不要與任何 Dapp(去中心化應用程式)互動。

事隔一週後,Ledger 官網昨(20)日稍晚發佈文章詳細披露了此次攻擊事件的過程及原因,並宣布在 2024 年 6 月底前,將暫停在 Ledger 設備上使用盲簽(Blind Signing),轉而用清晰簽名(Clear Signing)替代。

Ledger 被駭原因及時間線整理

據 Ledger 官方部落格文章說明,駭客於 12 月 14 日利用了 Ledger Connect Kit 漏洞,並透過在與其互動的 Dapp(去中心化應用程式)中注入惡意代碼,欺騙 EVM Dapp 用戶簽署交易,從而盜取錢包資產,具體時間線如下:

  • 12 月 14 日上午:一名 Ledger 前員工遭遇網路釣魚攻擊,盜取了該前員工對 NPMJS(應用程式之間共享 Javascript 程式碼的管理器)的訪問權限
  • 12 月 14 日上午 9:49/10:44/11:37:駭客在 NPMJS 上發佈了攜帶惡意代碼的 Ledger Connect Kit 版本(版本 1.1.5、1.1.6 和 1.1.7),並利用 WalletConnect 將用戶資產導向駭客錢包
  • 12 月 14 日下午 1:45:各大相關項目方及 Ledger 發現攻擊
  • 12 月 14 日下午 2:18:Ledger 在收到攻擊警報 40 分鐘後更新了 Ledger Connect Kit 版本,WalletConnect 也禁用了相關通道
  • 12 月 14 日下午 2:55:經調解,美元穩定幣 USDT 發行商 Tether 凍結駭客所盜資金
圖源:Ledger

Ledger:明年 6 月底前禁用盲簽

Ledger 官方表示目前受損金額共計約 60 萬美元,這些資產均是駭客從 EVM DApp 上盲簽用戶那裡盜取的,官方承諾,將在 2024 年 2 月底之前,幫助用戶追回被盜資金。

更重要的是,Ledger 還表示在 2024 年 6 月底之前,將全面禁止在 Ledger 設備上進行盲簽,轉而以 Clear Signing 取代,以確保用戶可以在簽名之前驗證 Ledger 設備上的所有交易:

這將產生一個新的標準來保護用戶並鼓勵用戶在使用 Dapp 時採用 Clear Signing。

前端攻擊已經發生了很多次,且將繼續困擾我們的生態系統,而針對此類攻擊的萬全之策則是始終驗證用戶在設備上的交易內容,而這只有 Clear Signing 才能實現:這意味著用戶可以在設備上準確查看和驗證自己所簽署的內容,如果繼續使用盲簽,用戶仍然面臨著類似的風險。

We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.

We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.

Ledger…

— Ledger (@Ledger) December 20, 2023

盲簽(Blind Signing)是什麼?

據維基百科資料顯示,「盲簽」是密碼學中一種數位簽名方式,其中資訊的內容在簽名之前對簽名者是不可見的(Blind),盲簽具有以下特徵:

  • 簽名者對其簽名的資訊內容不可見
  • 簽名資訊不可追蹤,即當簽名資訊被公佈後,簽名者無法知道這是他何時簽署的

盲簽的風險

據 Ledger 官方資料顯示,由於 NFT、DeFi 以及 Dapp 的飛速發展,用戶與智慧合約之間的互動方式也變得更加複雜。當用戶在進行盲簽時,由於不了解完整簽名內容就向智能合約授權,讓駭客有了可乘之機,竊取用戶資產。

標題:Ledger遭駭後新政策》禁用Dapp盲簽直到明年6月,對用戶有什麼影響?

地址:https://www.coinsdeep.com/article/77196.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊