Компания Ledger обещает возместить украденные криптоактивы пользователей в размере $600 тыс., даже тем, кто не является ее клиентом. В середине декабря у пользователей было украдено содержимое их криптокошельков из-за взлома ПО, и компания намерена компенсировать ущерб к концу февраля 2024 года, пишет РБК.
14 декабря злоумышленник взломал кодовую библиотеку Ledger Connect Kit, используемую многими крупными криптосервисами для авторизации. Это дало ему возможность внедрить вредоносный смарт-контракт, позволяющий списывать все средства с кошельков пользователей при взаимодействии с ним.
По информации от Ledger, в результате этого инцидента пользователи потеряли около $600 тыс. Компания признала, что кража активов произошла при использовании «слепой подписи» транзакций децентрализованных приложений (dApps).
Поскольку детали вредоносного смарт-контракта не были видны, подтверждать транзакцию приходилось на основе доверия, что называется «слепой подписью».
Ledger объявила, что к июню 2024 года компания планирует перестать использовать «слепые подписи» и вместо них внедрить механизм «прозрачной» подписи (Clear Signing), позволяющий пользователям проверять данные транзакций перед подписанием.
Глава компании Ledger, Паскаль Готье, назвал причиной взлома, произошедшего 14 декабря, фишинговую атаку на одного из бывших сотрудников. По словам Готье, компании Ledger и ее партнер WalletConnect удалось устранить уязвимость в течение 40 минут после обнаружения.
При цитировании информации активная гиперссылка на neprosto.fun обязательна