لجر برنامه‌هایی را برای رفع مشکلات مربوط به آسیب‌پذیری‌های اخیر اعلام می‌کند: جزئیات

لجر برنامه‌هایی را برای رفع مشکلات مربوط به آسیب‌پذیری‌های اخیر اعلام می‌کند: جزئیات

Ledger، سازنده کیف پول سخت افزاری، اعلام کرده است که قصد دارد تا ژوئن 2024 امضای کور برای برنامه های غیرمتمرکز ماشین مجازی اتریوم (EVM) (DApps) را غیرفعال کند.

این تصمیم در پاسخ به سوء استفاده‌ای است که در آن یک تخلیه‌کننده کیف پول به کتابخانه‌ای اضافه شد که توسط DApp‌های متعدد برای اتصال به دستگاه‌های Ledger استفاده می‌شد.

لجر طرحی را برای جبران خسارت قربانیان اعلام کرد

لجر در توییتی فاش کرد که حدود 600000 دلار از دارایی های رمزنگاری شده در جریان سوء استفاده اخیر به سرقت رفته است. در پاسخ به نقض امنیتی، این شرکت تعهد خود را برای جبران غرامت به قربانیان آسیب دیده اعلام کرد.

اعلام کرد که تا ژوئن 2024 عمل امضای Blind با دستگاه های Ledger را متوقف خواهد کرد.

امضای کور شامل نمایش داده های خام امضای قرارداد هوشمند است که توسط رایانه قابل خواندن است اما توسط انسان قابل خواندن نیست. تصمیم این شرکت برای حذف تدریجی امضای کور گامی به سوی ایجاد استانداردی جدید برای افزایش حفاظت از کاربر و ترویج امضای واضح در سراسر برنامه‌های غیرمتمرکز است.

لجر از توسعه دهندگان DApp خواست تا از امضای شفاف حمایت کنند و بر تعهد خود برای جلوگیری از چنین حوادثی در آینده و تضمین امنیت اکوسیستم تاکید کرد.

به گفته لجر، دارایی های دزدیده شده از کاربرانی گرفته شده است که در EVM DApps امضا کرده اند.

Ledger Exploit Drains Fund

در اکسپلویت اخیر هفته گذشته، توسعه دهندگان در توییتر یک نسخه مخرب از Ledger Connect Kit را شناسایی کردند، کتابخانه ای که ارتباط بین دستگاه های Ledger و DApps را تسهیل می کند.

به گفته شرکت امنیتی Web3 BlockAid، مهاجم یک محموله تخلیه کیف پول را به بسته NPM Ledger Connect Kit تزریق کرده است که به آن‌ها اجازه می‌دهد وجوهی را از کاربرانی که در برنامه‌هایی مانند Sushi.com و Hey.xyz امضا کرده‌اند، تخلیه کنند.

MetaMask، توسعه‌دهنده کیف پول نرم‌افزاری، به کاربران هشدار داد که پس از اخبار حمله، «استفاده از DApps را متوقف کنند». در بیانیه بعدی، لجر تأیید کرد که این حمله به دلیل قربانی شدن یک کارمند سابق توسط یک حمله فیشینگ رخ داده است.

مهاجم به حساب NPMJS کارمند سابق دسترسی پیدا کرد و به آنها اجازه داد یک نسخه مخرب از Ledger Connect Kit را فشار دهند. این کیت اتصال به خطر افتاده، وجوه کاربر را از هر کیف پولی که با استفاده از آن به کیف پول هکر به DApp متصل می شد، تغییر مسیر داد.

لجر به سرعت پاسخ داد و در عرض 40 دقیقه پس از هشدار تیم های امنیتی خود، یک اصلاحیه را به کار گرفت. در همین حال نسخه جدیدی از Connect Kit (1.1.8) منتشر شده است. این اکسپلویت دستگاه های Ledger و برنامه Ledger Live را به خطر نینداخت.

شایان ذکر است که لجر در مورد امنیت خود با انتقاداتی روبرو شده است. در سال 2020، پایگاه داده ایمیل مشتریان لجر هک شد و بیش از یک میلیون ایمیل کاربر را فاش کرد. در اوایل سال جاری، خدمات داوطلبانه Recover مبتنی بر ID Ledger نیز با انتقادهایی از سوی کاربران مواجه شد و برخی آن را «درپشتی» نامیدند.

پیشنهاد ویژه (با حمایت مالی)

100 دلار رایگان بایننس (انحصاری): برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures از این لینک استفاده کنید. (مقررات).