A hardvertárcákat gyártó Ledger bejelentette, hogy kikapcsolja a funkciót, amely nemrégiben több felhasználó esetében is a kriptopénzei elvesztéséhez vezetett.
A Ledger a közösségi médiában osztotta meg, hogy egy nemrégiben történt hekkelés során nagyjából 600 ezer dollárnyi kriptopénzt loptak el a felhasználóitól.
A cég elmondta, hogy kárpótolni fogja az áldozatokat, a lopást lehetővé tévő funkciót pedig ki fogja vezetni a rendszeréből.
A Ledger bejelentette az áldozatok kártalanítására irányuló tervet
A Ledger eszközeihez kapcsolódó appok könyvtárába valaki nemrég egy rosszindulatú programot töltött fel, amely segítségével ki lehet üríteni a tárcákat, amennyiben használják a vak aláírás funkciót.
Ez azt takarja, amikor az Ethereum hálózaton valaki kapcsolatba lép egy applikációval, és az aláírás kérése előtt a Ledger kijelzi az okosszerződés részleteit, de csak gépek, és nem emberek által olvasható formátumban.
A Ledger úgy döntött, hogy a fogyasztóvédelem jegyében ezt a funkciót felfüggeszti, és a továbbiakban a teljes aláírást fogja szorgalmazni, hogy a lehető legnagyobb mértékű biztonságot nyújthassa a felhasználói számára.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
A Ledger arra bíztatta a fejlesztői közösséget is, hogy támogassák a teljes aláírás bevezetését, és kifejtette, hogy a részükről minden lehetséges módon azon fognak dolgozni, hogy biztonságosabbá tegyék az ökoszisztémát a felhasználók számára, hiszen a legutóbbi támadás során is a vak aláírás segítségével fértek hozzá jogosulatlanul a kriptopénzekhez a támadók.
A Twitteren terjedt el a hír, hogy a Ledger Connect Kit könyvtárban egy rosszindulatú program is megtalálható.
Ezt a könyvtárat használják a kapcsolat kiépítésére a Ledger készülékek és a különböző appok között, a BlockAid, egy blokklánc-biztonsági cég elmondása szerint pedig a támadók ide tettek fel egy olyan programot, amely a vak aláírások közé beteszi az engedélyt, hogy a tárcákból ki lehessen utalni a kriptopénzeket máshová.
A Metamask, egy Ethereum-alapú tárcaszolgáltató azonnal jelezte, hogy a felhasználók hagyják abba az appok használatát, amíg a cég ki nem javítja a hibát.
A Ledger pedig megosztotta a közösséggel, hogy a rosszindulatú program úgy került fel a könyvtárba, hogy az egyik korábbi alkalmazottjuk adathalász támadás áldozatává vált.
A támadók megszerezték az alkalmazott fiókjának az adatait, így lehetőségük nyílt a rosszindulatú program feltöltésére a rendszerbe.
A program minden utalást, amelyet bizonyos appokon keresztül hajtottak volna végre, a támadó tárcájába utalt.
A Ledger hamar, 40 percen belül javította a hibát, és a Connect Kit új verzióját is kiadták. A felfedezett hiba nem érintette közvetlenül a Ledger tárcákat, valamint a Ledger Live appot.
A Ledger nem először szembesül biztonsági problémákkal. 2020-ban az ügyfél-adatbázisuk szivárgott ki, több, mint egy millió email-címmel.
Idén pedig a személyazonosítást igénylő visszaállítási funkciójuk keltett nagy felhördülést a kriptoközösségben, sokak szerint ez egyfajta hátsó kapu a felhasználók pénzéhez.
Olvastad már? A Bitcoin bányászok korai karácsonya
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.