知名加密货币冷钱包Ledger上周遭遇攻击后,表示将在明年6月底之前全面取消在Ledger设备上进行盲签,并以清晰签名替代,以提高安全性。
(前情提要:Ledger遭骇引爆DeFi灾难:牵连项目、损失金额、骇客是谁..一文整理)
(背景补充:Ledger执行长回应被骇:全力追回资金!安全版本已上线、建议等待24小时再操作)
本文目录:
Ledger被骇原因及时间线整理
Ledger:明年6月底前禁用盲签
盲签是什么?
盲签的风险
加密货币冷钱包Ledger在12月14日因Connect Kit遭植入恶意代码,导致Web3领域多个项目受影响,一度要求所有用户暂时不要与任何Dapp互动。
事隔一周后,Ledger官网昨日稍晚发布文章,详细披露了此次攻击事件的过程及原因,并宣布在2024年6月底前,将暂停在Ledger设备上使用盲签,转而用清晰签名替代。
Ledger被骇原因及时间线整理
据Ledger官方部落格文章说明,骇客于12月14日利用了Ledger Connect Kit漏洞,并通过在与其互动的Dapp中注入恶意代码,欺骗EVM Dapp用户签署交易,从而窃取钱包资产,具体时间线如下:
12月14日上午:一名Ledger前员工遭遇网络钓鱼攻击,窃取了该前员工对NPMJS的访问权限
12月14日上午9:49/10:44/11:37:骇客在NPMJS上发布了携带恶意代码的Ledger Connect Kit版本(版本1.1.5、1.1.6和1.1.7),并利用WalletConnect将用户资产导向骇客钱包
12月14日下午1:45:各大相关项目方及Ledger发现攻击
12月14日下午2:18:Ledger在收到攻击警报40分钟后更新了Ledger Connect Kit版本,WalletConnect也禁用了相关通道
12月14日下午2:55:经调解,美元稳定币USDT发行商Tether冻结骇客所盗资金
图源:Ledger
Ledger:明年6月底前禁用盲签
Ledger官方表示目前受损金额共计约60万美元,这些资产均是骇客从EVM DApp上盲签用户那里窃取的,官方承诺将在2024年2月底之前帮助用户追回被盗资金。
更重要的是,Ledger还表示在2024年6月底之前,将全面禁止在Ledger设备上进行盲签,转而以Clear Signing取代,以确保用户可以在签名之前验证Ledger设备上的所有交易。
盲签是什么?
据维基百科资料显示,”盲签”是密码学中一种数字签名方式,其中信息的内容在签名之前对签名者是不可见的(Blind),盲签具有以下特征:
– 签名者对其签名的信息内容不可见
– 签名信息不可追踪,即当签名信息被公布后,签名者无法知道这是他何时签署的
盲签的风险
据Ledger官方资料显示,由于NFT、DeFi以及Dapp的飞速发展,用户与智能合约之间的互动方式也变得更加复杂。当用户在进行盲签时,由于不了解完整签名内容就向智能合约授权,让骇客有了可乘之机,窃取用户资产。
相关报道
小心!Microsoft商店上线”假冷钱包Ledger APP”!至今已骗超76.8万美元
Ledger冷钱包不敌加密寒冬,宣布裁员12%;FTX倒闭曾引销售热潮
Ledger低头认错》私钥备份”Recover”延后上线、开源冷钱包程式码
Tags:
盲签
清晰签名
Ledger
安全
钱包
骇客攻击
