知名加密貨幣冷錢包Ledger上週14日遭遇攻擊後,表示將在明年6月底之前全面取消在Ledger設備上進行盲簽,而以清晰簽名替代,以提高安全性。
(前情提要:
Ledger遭駭引爆DeFi災難:牽連項目、損失金額、駭客是誰..一文整理)
(背景補充:
Ledger執行長回應被駭:全力追回資金!安全版本已上線、建議等待24小時再操作)
本文目錄
Ledger被駭原因及時間線整理
Ledger:明年6月底前禁用盲簽
盲簽是什麼?
盲簽的風險
加密貨幣冷錢包Ledger在12月14日因Connect Kit遭植入惡意程式碼,導致Web3領域多個項目受影響,一度要求所有用戶暫時不要與任何Dapp互動。事隔一週後,Ledger官網昨日稍晚發佈詳細披露了此次攻擊事件的過程及原因,並宣布在2024年6月底前,將暫停在Ledger設備上使用盲簽,轉而用清晰簽名替代。
Ledger被駭原因及時間線整理
據Ledger官方部落格文章說明,駭客於12月14日利用了Ledger Connect Kit漏洞,並透過在與其互動的Dapp中注入惡意代碼,欺騙EVM Dapp用戶簽署交易,從而盜取錢包資產,具體時間線如下:
12月14日上午:一名Ledger前員工遭遇網路釣魚攻擊,盜取了該前員工對NPMJS的訪問權限
12月14日上午9:49/10:44/11:37:駭客在NPMJS上發佈了攜帶惡意代碼的Ledger Connect Kit版本(版本1.1.5、1.1.6和1.1.7),並利用WalletConnect將用戶資產導向駭客錢包
12月14日下午1:45:各大相關項目方及Ledger發現攻擊
12月14日下午2:18:Ledger在收到攻擊警報40分鐘後更新了Ledger Connect Kit版本,WalletConnect也禁用了相關通道
12月14日下午2:55:經調解,美元穩定幣USDT發行商Tether凍結駭客所盜資金
圖源:Ledger
Ledger:明年6月底前禁用盲簽
Ledger官方表示目前受損金額共計約60萬美元,這些資產均是駭客從EVM DApp上盲簽用戶那裡盜取的,官方承諾將在2024年2月底之前幫助用戶追回被盜資金。更重要的是,Ledger還表示在2024年6月底之前,將全面禁止在Ledger設備上進行盲簽,轉而以清晰簽名取代,以確保用戶可以在簽名之前驗證Ledger設備上的所有交易。
盲簽是什麼?
據維基百科資料顯示,「盲簽」是密碼學中一種數位簽名方式,其中資訊的內容在簽名之前對簽名者是不可見的(Blind),盲簽具有以下特徵:
簽名者對其簽名的資訊內容不可見
簽名資訊不可追蹤,即當簽名資訊被公佈後,簽名者無法知道這是他何時簽署的
盲簽的風險
據Ledger官方資料顯示,由於NFT、DeFi以及Dapp的飛速發展,用戶與智慧合約之間的互動方式也變得更加複雜。當用戶在進行盲簽時,由於不了解完整簽名內容就向智能合約授權,讓駭客有了可乘之機,竊取用戶資產。
相關報導
小心!Microsoft商店上線「假冷錢包Ledger APP」!至今已騙超76.8萬美元
Ledger冷錢包不敵加密寒冬,宣布裁員12%;FTX倒閉曾引銷售熱潮
Ledger低頭認錯》私鑰備份「Recover」延後上線、開源冷錢包程式碼
Tags:
Blind Signing
Clear Signing
Ledger
安全
盲簽
簽名
錢包
駭客攻擊