Sổ cái sẽ vô hiệu hóa tính năng ký mù cho các DApp EVM trước tháng 6 năm 2024, bồi thường cho các nạn nhân của vụ khai thác gần đây

Theo CryptoPotato, Ledger, một nhà sản xuất ví phần cứng, đã công bố kế hoạch vô hiệu hóa việc ký mù cho các ứng dụng phi tập trung (DApps) của Máy ảo Ethereum (EVM) vào tháng 6 năm 2024. Quyết định này được đưa ra nhằm đáp lại một hành vi khai thác trong đó một công cụ rút tiền ví được thêm vào một thư viện được nhiều DApp sử dụng để kết nối với các thiết bị Ledger. Công ty tiết lộ rằng khoảng 600.000 USD tài sản tiền điện tử đã bị đánh cắp trong lần khai thác gần đây và cam kết bồi thường cho những nạn nhân bị ảnh hưởng. Ledger tuyên bố rằng họ sẽ ngừng thực hành ký mù với các thiết bị Ledger vào tháng 6 năm 2024, nhằm thiết lập một tiêu chuẩn mới để tăng cường bảo vệ người dùng và thúc đẩy việc ký kết rõ ràng trên các ứng dụng phi tập trung. Trong lần khai thác gần đây vào tuần trước, các nhà phát triển trên Twitter đã xác định được một phiên bản độc hại của Ledger Connect Kit, một thư viện hỗ trợ kết nối giữa các thiết bị Ledger và DApps. Theo công ty bảo mật Web3 BlockAid, kẻ tấn công đã chèn một tải trọng làm cạn kiệt ví vào gói NPM của Ledger Connect Kit, cho phép chúng rút tiền từ những người dùng đã đăng nhập trên DApps như Sushi.com và Hey.xyz. MetaMask, một nhà phát triển ví phần mềm, đã cảnh báo người dùng “ngừng sử dụng DApps” sau tin tức về cuộc tấn công. Ledger xác nhận rằng cuộc tấn công xảy ra do một nhân viên cũ trở thành nạn nhân của một cuộc tấn công lừa đảo, cho phép kẻ tấn công truy cập vào tài khoản NPMJS của nhân viên cũ và đẩy một phiên bản độc hại của Ledger Connect Kit. Bộ công cụ kết nối bị xâm phạm này đã định tuyến lại tiền của người dùng từ bất kỳ ví nào kết nối với DApp bằng cách sử dụng nó tới ví của hacker. Ledger đã phản hồi nhanh chóng, triển khai bản sửa lỗi trong vòng 40 phút kể từ khi các nhóm bảo mật cảnh báo. Phiên bản mới của Connect Kit (1.1.8) đã được phát hành. Việc khai thác không ảnh hưởng đến các thiết bị Ledger và ứng dụng Ledger Live.