El fabricante de carteras de hardware Ledger ha respondido a una reciente violación de la seguridad lo que resultó en el robo de activos de usuario por valor de 600.000 dólares.
La compañía se ha comprometido a mejorar sus protocolos de seguridad eliminando la firma ciega, un proceso en el que las transacciones se muestran en código en lugar de en lenguaje sencillo, para junio de 2024.
Ledger asume la responsabilidad del ataque a ConnectKit
en un declaraciónLedger enfatizó su enfoque en abordar el reciente incidente de seguridad y prevenir sucesos similares en el futuro.
La compañía reconoció los aproximadamente $600,000 en activos que se vieron afectados por el ataque ConnectKit, particularmente
Además, Ledger se comprometió a garantizar que las víctimas afectadas reciban una compensación total, incluidos los clientes que no son de Ledger, y que el director ejecutivo y presidente Pascal Gauthier supervise personalmente el proceso de restitución.
Según el comunicado, Ledger ya ha iniciado contacto con los usuarios afectados y está trabajando activamente con ellos para resolver sus problemas. casos específicos
Además, para junio de 2024, la firma ciega ya no será compatible con los dispositivos Ledger, lo que contribuirá a un “nuevo estándar de protección del usuario” y abogará por una “firma clara”, que se refiere a un proceso que permite a los usuarios verificar las transacciones en su Ledger. dispositivos antes de firmarlos en dApps.
Al respecto, el director ejecutivo de Ledger, Pascal Gauthier fijado:
Mi compromiso personal: Ledger dedicará tantos recursos internos y externos como sea posible para ayudar a las personas afectadas a recuperar sus activos.
Medidas de seguridad reforzadas para dApps
Según un incidente informe Lanzado por el fabricante de la billetera de hardware, el ataque aprovechó el kit Ledger Connect, inyectando código malicioso en las dApps que utilizan el kit.
Este código malicioso redirigió activos a las carteras del atacante, engañando Usuarios de aplicaciones EVM en “firmar transacciones sin saberlo” que vaciaron sus billeteras.
Ledger abordó el ataque implementando una solución genuina para el Connect Kit dentro de los 40 minutos posteriores a la detección. El código comprometido permaneció accesible por un tiempo limitado debido a la naturaleza de las redes de entrega de contenido (CDN) y los mecanismos de almacenamiento en caché.
Ledger reconoció los riesgos que enfrenta toda la industria al proteger a los usuarios y enfatizó la necesidad de elevar continuamente el estándar de seguridad en las dApps.
La compañía planea fortalecer sus controles de acceso, realizar auditorías de herramientas internas y externas, reforzar la firma de códigos y mejorar los sistemas de alerta y monitoreo de infraestructura.
Además, Ledger educar a los usuarios sobre la importancia de la firma clara y los riesgos potenciales asociados con la firma ciega de transacciones sin una visualización segura.
En particular, con Clear Signing, a los usuarios se les presenta una representación clara y legible de los detalles de la transacción, lo que les permite revisar y validar la transacción antes de proporcionar su firma.
Esta capa adicional de transparencia y verificación ayuda a los usuarios a mitigar los riesgos asociados con ataques frontales o códigos maliciosos inyectados en aplicaciones descentralizadas.
Imagen destacada de Shutterstock, gráfico de TradingView.com
Descargo de responsabilidad: el artículo se proporciona únicamente con fines educativos. No representa las opiniones de NewsBTC sobre si comprar, vender o mantener inversiones y, naturalmente, invertir conlleva riesgos. Se recomienda realizar su propia investigación antes de tomar cualquier decisión de inversión. Utilice la información proporcionada en este sitio web bajo su propio riesgo.