Donanım cüzdanı üreticisi Ledger, Haziran 2024'e kadar Ethereum Virtual Machine (EVM) merkezi olmayan uygulamaları (DApp'ler) için kör imzalamayı devre dışı bırakmayı planladığını duyurdu.

Karar, çok sayıda DApp tarafından Ledger cihazlarına bağlanmak için kullanılan bir kitaplığa cüzdan boşaltıcının eklendiği bir istismara yanıt olarak geldi. Ledger Mağdurlara Tazminat Planını Açıkladı

Ledger, bir tweet'te son saldırı sırasında yaklaşık 600.000 dolarlık kripto varlığının çalındığını açıkladı. Güvenlik ihlaline yanıt olarak şirket, etkilenen mağdurlara tazminat ödeme taahhüdünü duyurdu.

Haziran 2024 itibarıyla Ledger cihazlarıyla Kör imzalama uygulamasını sonlandıracağını açıkladı. Geçen hafta yaşanan güvenlik olayını takip etmeye, gelecekte bu gibi olayların önlenmesine ve ekosistemin güvende kalmasını sağlamaya %100 odaklanmış durumdayız.

Etkilenen yaklaşık 600 bin dolarlık varlığın, EVM DApp'lerinde kullanıcıların kör imzalarından çalındığının farkındayız.

Defter…

- Defter (@Ledger) 20 Aralık 2023

Kör imzalama, bilgisayarlar tarafından okunabilen ancak insanlar tarafından okunamayan ham akıllı sözleşme imzalama verilerinin görüntülenmesini içerir. Şirketin kör imzalamayı aşamalı olarak kaldırma kararı, kullanıcı korumasını geliştirmek ve merkezi olmayan uygulamalarda net imzalamayı teşvik etmek için yeni bir standart oluşturmaya yönelik bir adımdır.

Ledger, DApp geliştiricilerini net imzalamayı desteklemeye çağırdı ve gelecekte bu tür olayları önleme ve ekosistemin güvenliğini sağlama konusundaki kararlılığını vurguladı.

Ledger'e göre çalınan varlıklar, kullanıcıların EVM DApp'lerinde kör imza atmasından alındı. Defter İstismarı Fonu Boşaltıyor

Geçtiğimiz hafta yaşanan son istismarda Twitter'daki geliştiriciler, Ledger cihazları ile DApp'ler arasındaki bağlantıyı kolaylaştıran bir kitaplık olan Ledger Connect Kit'in kötü amaçlı bir sürümünü tespit etti.

Web3 güvenlik firması BlockAid'e göre saldırgan, Ledger Connect Kit'in NPM paketine cüzdan tüketen bir yük enjekte ederek Sushi.com ve Hey.xyz gibi DApp'lerde oturum açan kullanıcılardan para çekmelerine olanak sağladı.

Yazılım cüzdanı geliştiricisi MetaMask, saldırı haberlerinin ardından kullanıcıları "DApp'leri kullanmayı bırakmaları" konusunda uyardı. Daha sonra yaptığı açıklamada Ledger, saldırının eski bir çalışanın kimlik avı saldırısına kurban gitmesi nedeniyle gerçekleştiğini doğruladı.

Saldırgan, eski çalışanın NPMJS hesabına erişerek Ledger Connect Kit'in kötü amaçlı bir sürümünü göndermesine olanak sağladı. Güvenliği ihlal edilen bu Connect Kit, kullanıcı fonlarını bir DApp'e bağlanan herhangi bir cüzdandan bilgisayar korsanının cüzdanına yönlendirdi.

Ledger hızlı bir şekilde yanıt verdi ve güvenlik ekiplerinin uyarmasından sonraki 40 dakika içinde bir düzeltme uyguladı. Bu arada Connect Kit'in (1.1.8) yeni bir sürümü yayınlandı. Bu istismar, Ledger cihazlarından ve Ledger Live uygulamasından ödün vermedi.

Ledger'in güvenliği konusunda eleştirilere maruz kaldığını belirtmekte fayda var. 2020'de bir Ledger müşteri e-posta veritabanı saldırıya uğradı ve bir milyondan fazla kullanıcı e-postası açığa çıktı. Bu yılın başlarında Ledger'in gönüllü kimlik tabanlı Recover hizmeti de kullanıcılardan eleştiriler aldı ve bazıları buna "arka kapı" adını verdi. ÖZEL TEKLİF (Sponsorlu) Binance Ücretsiz 100$ (Özel): Kayıt olmak ve Binance Vadeli İşlemlerin ilk ayında (şartlar) 100$ ücretsiz ve %10 indirimli ücretler almak için bu bağlantıyı kullanın.

Şunlar da hoşunuza gidebilir: Ledger Güvenlik İhlalini Ele Alıyor: Yalıtılmış Olay Defterini Doğruladı Ledger Güvenlik Açığı Doğruladı: 600.000 Doların Üzerinde Tehlike Altına Girdiği İddia Edilen Ledger Önceki Eleştirilere Rağmen Kurtarma Hizmetini Başlattı Etiketler: Hacks Ledger