Поставщик аппаратного криптокошелька Ledger внесет изменения в процессы подписания транзакций после эксплойта 14 декабря в программной библиотеке Ledger Connect Kit.
«Нам известно об украденных у пользователей активах примерно на $600 000. Они использовали слепую подпись в EVM DApps. Мы будем работать с экосистемой DApp, чтобы обеспечить прозрачную подпись и запретить слепую подпись на устройствах Ledger к июню 2024 года», — сообщила Ledger.
Потерявшие средства в результате эксплойта пользователи получат полную компенсацию к концу февраля 2024 года, а подписавшие транзакцию в затронутых DApps должны отозвать несанкционированные транзакции, чтобы предотвратить влияние вредоносного кода в дальнейшем.
На прошлой неделе критическая уязвимость затронула библиотеку программного обеспечения, на которую полагается Ledger. Потенциально из-за взлома сети доставки контента библиотеки программного обеспечения вредоносный код был внедрен во внешние интерфейсы приложений, что позволило злоумышленнику украсть активы.
Источник
Уникальность