扬帆fan股票网(www.yfbx.cn)讯:加密货huo币冷钱包Ledger在12月14日因Connect Kit遭zao植入恶意代码,导致Web3领域多个项目受影响xiang,一度要求所有用yong户暂时不要与任ren何Dapp(去中心化应用程cheng序)互动。
事隔一周后,Ledger官网昨zuo(20)日稍晚发布文章zhang详细披露了此次攻击事件的过程及原yuan因,并宣布在2024年6月底前,将暂停在Ledger设she备上使用盲签(Blind Signing),转而用清晰签qian名(Clear Signing)替代。
Ledger被黑原yuan因及时间线整理
据Ledger官方文章说明ming,黑客于12月14日ri利用了Ledger Connect Kit漏洞,并通过在与其互动的Dapp(去中zhong心化应用程序)中zhong注入恶意代码,欺骗EVM Dapp用户签署交jiao易,从而盗取钱包资产,具体时shi间线如下:
12月14日上午:一名Ledger前员工遭zao遇网络钓鱼攻击,盗取了该前员工对NPMJS(应用程序之间共享Javascript代码的管理器)的访问权quan限
12月14日ri上午9:49/10:44/11:37:黑客客在zaiNPMJS上发布了携xie带恶意代码的Ledger Connect Kit版本(版本1.1.5、1.1.6和1.1.7),并利用Wallet Connect将用户资产导向黑hei客钱包
12月14日下午wu1:45:各大相关项目方及Ledger发现攻击
12月14日ri下午2:18:Ledger在zai收到攻击警报40分钟后更新了leLedger Connect Kit版本,Wallet Connect也禁用了相关通tong道
12月14日下午2:55:经调解,美元稳定币USDT发行商Tether冻结黑hei客所盗资金
Ledger:明年6月底前禁用yong盲签
Ledger官方表示目前受损金jin额共计约60万美元,这些资产均jun是黑客从EVM DApp上盲签qian用户那里盗取的,官方承诺,将在2024年2月底之前,帮助用户追回被盗资金。
更重要的是,Ledger还表示在2024年6月底之前,将jiang全面禁止在Ledger设备上进行盲签,转而以Clear Signing取代,以yi确保用户可以在签名之前验证Ledger设备上的de所有交易:这将产生一yi个新的标准来保护用户并鼓励用户在使shi用Dapp时采用Clear Signing。前端duan攻击已经发生了很多次,且将继续困扰我wo们的生态系统,而针zhen对此类攻击的万全之策则是shi始终验证用户在设备上的交易内容,而er这只有Clear Signing才能实现:这zhe意味着用户可以在设备bei上准确查看和验yan证自己所签署的内容rong,如果继续使用盲签,用yong户仍然面临着类似si的风险。
盲签qian(Blind Signing)是什么?
据维基百科资料显示,「盲签」是密码学中一种数shu字签名方式,其中信息的内nei容在签名之前对签名ming者是不可见的(Blind),盲mang签具有以下特征:
签名者对其签名的信息内nei容不可见
签名ming信息不可追踪,即当签qian名信息被公布后,签名者无wu法知道这是他何时签署的
盲mang签的风险
据Ledger官方资料显示,由于NFT、DeFi以及Dapp的飞速发展,用户与智zhi能合约之间的互动dong方式也变得更加复杂。当用户在进jin行盲签时,由于不了解完整签名ming内容就向智能合约授权,让黑客有了可ke乘之机,窃取用户资产。
