数字货币冷钱包Ledger在12月14日因Connect Kit遭嵌入恶意程序,造成Web3行业多个项目受到影响,一度确保所有用户尽量别和任何Dapp(去中心化应用程序流程)互动交流。
时隔一周后,Ledger官方网站昨(20)日晚些发布内容详尽公布了本次进攻事件过程与缘故,正式宣布在2024年6月底前,将暂停在Ledger设备中应用盲签(Blind Signing),继而用清楚签名(Clear Signing)取代。
Ledger网站被黑原因和时间轴梳理
据Ledger官方网文章内容表明,黑客于12月14日运用了Ledger Connect Kit系统漏洞,并且通过在与其说交流的Dapp(去中心化应用程序流程)中注入恶意程序,蒙骗EVM Dapp用户签定买卖,进而窃取钱夹财产,实际时间轴如下所示:
12月14日早上:一名Ledger前员工遭受互联网中间人攻击,窃取了这一前员工对NPMJS(应用软件中间分享Javascript程序代码管理工具)的访问限制
12月14日早上9:49/10:44/11:37:黑客客在NPMJS上发布了带上恶意程序的Ledger Connect Kit版本(版本1.1.5、1.1.6和1.1.7),并通过Wallet Connect将用户财产导向性黑客钱夹
12月14日在下午1:45:各种相关业务方及Ledger发觉进攻
12月14日在下午2:18:Ledger在接到进攻警报器40分钟升级了Ledger Connect Kit版本,Wallet Connect也停用了有关安全通道
12月14日在下午2:55:经调解,美金稳定币USDT出版商Tether冻洁黑客所盗资产
Ledger:来年6月底前禁止使用盲签
Ledger官方表示现阶段损伤额度共计约60万美金,这些资产都为黑客从EVM DApp上盲签用户那边窃取的,官方网服务承诺,将于2024年2月底之前,协助用户讨回失窃资产。
更为关键的是,Ledger还强调在2024年6月底以前,将明文禁止在Ledger设备中开展盲签,继而以Clear Signing替代,以保证用户还可以在签名以前认证Ledger设备上所有交易:这将会产生一个新的标准来维护用户并支持用户使用Dapp时使用Clear Signing。前面进攻已经发生了了好多次,并将再次困惑我们自己的生态体系,而对于该类攻击上上之策乃是自始至终认证用户在设备上买卖具体内容,然而这仅有Clear Signing才能达到:这就意味着用户还可以在设备中精确查询和测试他们所签订的具体内容,假如正常使用盲签,用户仍然面临着相近风险。
盲签(Blind Signing)是啥?
据wiki百科数据显示,「盲签」是密码算法中一种数据签名方法,在其中信息内容在签名前要对签名者是不可见的(Blind),盲签主要有以下特点:
签名者并对签名的信息具体内容看不到
签名信息不能跟踪,就是当签名信息被出来之后,签名者没法猜到了他什么时候签订的
盲签风险
据Ledger官方资料表明,因为NFT、DeFi及其Dapp的迅猛发展,用户与区块链智能合约之间的沟通方式也变得更加复杂。当用户在开展盲签时,因为不太了解详细签名具体内容便向区块链智能合约受权,让黑客拥有机会,盗取用户财产
