За даними CryptoPotato, Ledger, виробник апаратних гаманців, оголосив про плани відключити сліпий підпис для децентралізованих програм (DApps) віртуальної машини Ethereum (EVM) до червня 2024 року. Це рішення було прийнято у відповідь на експлойт, через який додано засіб очищення гаманця. бібліотека, яка використовується багатьма DApps для підключення до пристроїв Ledger. Компанія виявила, що під час нещодавнього експлойту було вкрадено криптоактиви на суму приблизно 600 000 доларів США, і зобов’язалася виплатити компенсацію постраждалим. Ledger оголосив, що припинить практику сліпого підпису за допомогою пристроїв Ledger до червня 2024 року з метою встановлення нового стандарту для посилення захисту користувачів і сприяння чіткому підпису в децентралізованих програмах.
У недавньому експлойті минулого тижня розробники в Twitter виявили шкідливу версію Ledger Connect Kit, бібліотеки, яка полегшує з’єднання між пристроями Ledger і DApps. За даними фірми з безпеки Web3 BlockAid, зловмисник вставив корисне навантаження для вичерпування гаманця в пакет NPM Ledger Connect Kit, що дозволило їм викачувати кошти з користувачів, які входили в DApps, такі як Sushi.com і Hey.xyz. MetaMask, розробник програмного гаманця, попередив користувачів «припинити використовувати DApps» після новин про атаку. Леджер підтвердив, що атака сталася через те, що колишній співробітник став жертвою фішингової атаки, яка дозволила зловмиснику отримати доступ до облікового запису колишнього співробітника NPMJS і розмістити шкідливу версію Ledger Connect Kit. Цей скомпрометований Connect Kit перенаправляв кошти користувача з будь-якого гаманця, який підключався до DApp, використовуючи його, на гаманець хакера. Ledger швидко відреагував, розгорнувши виправлення протягом 40 хвилин після того, як команда безпеки повідомила про це. Вийшла нова версія Connect Kit (1.1.8). Експлойт не скомпрометував пристрої Ledger і додаток Ledger Live.