知名加密貨幣冷錢包 Ledger 在上週 14 日遭遇攻擊後,表示將在明年 6 月底之前,全面取消在 Ledger 設備上進行盲簽,而以清晰簽名(Clear Signing)替代,以提高安全性。
(前情提要:Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰..一文整理)
(背景補充:Ledger執行長回應被駭:全力追回資金!安全版本已上線、建議等待24小時再操作)
加密貨幣冷錢包 Ledger 在 12 月 14 日因 Connect Kit 遭植入惡意程式碼,導致 Web3 領域多個項目受影響,一度要求所有用戶暫時不要與任何 Dapp(去中心化應用程式)互動。
事隔一週後,Ledger 官網昨(20)日稍晚發佈文章詳細披露了此次攻擊事件的過程及原因,並宣布在 2024 年 6 月底前,將暫停在 Ledger 設備上使用盲簽(Blind Signing),轉而用清晰簽名(Clear Signing)替代。
Ledger 被駭原因及時間線整理
據 Ledger 官方部落格文章說明,駭客於 12 月 14 日利用了 Ledger Connect Kit 漏洞,並透過在與其互動的 Dapp(去中心化應用程式)中注入惡意代碼,欺騙 EVM Dapp 用戶簽署交易,從而盜取錢包資產,具體時間線如下:
- 12 月 14 日上午:一名 Ledger 前員工遭遇網路釣魚攻擊,盜取了該前員工對 NPMJS(應用程式之間共享 Javascript 程式碼的管理器)的訪問權限
- 12 月 14 日上午 9:49/10:44/11:37:駭客在 NPMJS 上發佈了攜帶惡意代碼的 Ledger Connect Kit 版本(版本 1.1.5、1.1.6 和 1.1.7),並利用 WalletConnect 將用戶資產導向駭客錢包
- 12 月 14 日下午 1:45:各大相關項目方及 Ledger 發現攻擊
- 12 月 14 日下午 2:18:Ledger 在收到攻擊警報 40 分鐘後更新了 Ledger Connect Kit 版本,WalletConnect 也禁用了相關通道
- 12 月 14 日下午 2:55:經調解,美元穩定幣 USDT 發行商 Tether 凍結駭客所盜資金
Ledger:明年 6 月底前禁用盲簽
Ledger 官方表示目前受損金額共計約 60 萬美元,這些資產均是駭客從 EVM DApp 上盲簽用戶那裡盜取的,官方承諾,將在 2024 年 2 月底之前,幫助用戶追回被盜資金。
更重要的是,Ledger 還表示在 2024 年 6 月底之前,將全面禁止在 Ledger 設備上進行盲簽,轉而以 Clear Signing 取代,以確保用戶可以在簽名之前驗證 Ledger 設備上的所有交易:
這將產生一個新的標準來保護用戶並鼓勵用戶在使用 Dapp 時採用 Clear Signing。
前端攻擊已經發生了很多次,且將繼續困擾我們的生態系統,而針對此類攻擊的萬全之策則是始終驗證用戶在設備上的交易內容,而這只有 Clear Signing 才能實現:這意味著用戶可以在設備上準確查看和驗證自己所簽署的內容,如果繼續使用盲簽,用戶仍然面臨著類似的風險。
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
盲簽(Blind Signing)是什麼?
據維基百科資料顯示,「盲簽」是密碼學中一種數位簽名方式,其中資訊的內容在簽名之前對簽名者是不可見的(Blind),盲簽具有以下特徵:
- 簽名者對其簽名的資訊內容不可見
- 簽名資訊不可追蹤,即當簽名資訊被公佈後,簽名者無法知道這是他何時簽署的
盲簽的風險
據 Ledger 官方資料顯示,由於 NFT、DeFi 以及 Dapp 的飛速發展,用戶與智慧合約之間的互動方式也變得更加複雜。當用戶在進行盲簽時,由於不了解完整簽名內容就向智能合約授權,讓駭客有了可乘之機,竊取用戶資產。
📍相關報導📍
小心!Microsoft商店上線「假冷錢包 Ledger APP」!至今已騙超 76.8 萬美元
