لجر برنامههایی را برای رفع مشکلات مربوط به آسیبپذیریهای اخیر اعلام میکند: جزئیات

Ledger، سازنده کیف پول سخت افزاری، اعلام کرده است که قصد دارد تا ژوئن 2024 امضای کور برای برنامه های غیرمتمرکز ماشین مجازی اتریوم (EVM) (DApps) را غیرفعال کند.
این تصمیم در پاسخ به سوء استفادهای است که در آن یک تخلیهکننده کیف پول به کتابخانهای اضافه شد که توسط DAppهای متعدد برای اتصال به دستگاههای Ledger استفاده میشد.
لجر طرحی را برای جبران خسارت قربانیان اعلام کرد
لجر در توییتی فاش کرد که حدود 600000 دلار از دارایی های رمزنگاری شده در جریان سوء استفاده اخیر به سرقت رفته است. در پاسخ به نقض امنیتی، این شرکت تعهد خود را برای جبران غرامت به قربانیان آسیب دیده اعلام کرد.
اعلام کرد که تا ژوئن 2024 عمل امضای Blind با دستگاه های Ledger را متوقف خواهد کرد.
ما 100% روی پیگیری حادثه امنیتی هفته گذشته متمرکز هستیم، و مطمئن می شویم که از حوادثی مانند این در آینده جلوگیری می شود و اکوسیستم ایمن باقی می ماند.
ما از تقریباً 600 هزار دلار داراییهایی که از امضای نابینا کاربران در برنامههای EVM DApps سرقت شدهاند، آگاه هستیم.
دفتر کل…
– لجر (@Ledger) 20 دسامبر 2023
امضای کور شامل نمایش داده های خام امضای قرارداد هوشمند است که توسط رایانه قابل خواندن است اما توسط انسان قابل خواندن نیست. تصمیم این شرکت برای حذف تدریجی امضای کور گامی به سوی ایجاد استانداردی جدید برای افزایش حفاظت از کاربر و ترویج امضای واضح در سراسر برنامههای غیرمتمرکز است.
لجر از توسعه دهندگان DApp خواست تا از امضای شفاف حمایت کنند و بر تعهد خود برای جلوگیری از چنین حوادثی در آینده و تضمین امنیت اکوسیستم تاکید کرد.
به گفته لجر، دارایی های دزدیده شده از کاربرانی گرفته شده است که در EVM DApps امضا کرده اند.
Ledger Exploit Drains Fund
در اکسپلویت اخیر هفته گذشته، توسعه دهندگان در توییتر یک نسخه مخرب از Ledger Connect Kit را شناسایی کردند، کتابخانه ای که ارتباط بین دستگاه های Ledger و DApps را تسهیل می کند.
به گفته شرکت امنیتی Web3 BlockAid، مهاجم یک محموله تخلیه کیف پول را به بسته NPM Ledger Connect Kit تزریق کرده است که به آنها اجازه میدهد وجوهی را از کاربرانی که در برنامههایی مانند Sushi.com و Hey.xyz امضا کردهاند، تخلیه کنند.
MetaMask، توسعهدهنده کیف پول نرمافزاری، به کاربران هشدار داد که پس از اخبار حمله، «استفاده از DApps را متوقف کنند». در بیانیه بعدی، لجر تأیید کرد که این حمله به دلیل قربانی شدن یک کارمند سابق توسط یک حمله فیشینگ رخ داده است.
مهاجم به حساب NPMJS کارمند سابق دسترسی پیدا کرد و به آنها اجازه داد یک نسخه مخرب از Ledger Connect Kit را فشار دهند. این کیت اتصال به خطر افتاده، وجوه کاربر را از هر کیف پولی که با استفاده از آن به کیف پول هکر به DApp متصل می شد، تغییر مسیر داد.
لجر به سرعت پاسخ داد و در عرض 40 دقیقه پس از هشدار تیم های امنیتی خود، یک اصلاحیه را به کار گرفت. در همین حال نسخه جدیدی از Connect Kit (1.1.8) منتشر شده است. این اکسپلویت دستگاه های Ledger و برنامه Ledger Live را به خطر نینداخت.
شایان ذکر است که لجر در مورد امنیت خود با انتقاداتی روبرو شده است. در سال 2020، پایگاه داده ایمیل مشتریان لجر هک شد و بیش از یک میلیون ایمیل کاربر را فاش کرد. در اوایل سال جاری، خدمات داوطلبانه Recover مبتنی بر ID Ledger نیز با انتقادهایی از سوی کاربران مواجه شد و برخی آن را «درپشتی» نامیدند.
100 دلار رایگان بایننس (انحصاری): برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures از این لینک استفاده کنید. (مقررات).