Ledger cho biết vụ hack 1 tuần trước đã gây thiệt hại khoảng 600.000 USD tài sản người dùng, đồng thời công bố giải pháp ngăn chặn sự cố tương tự trong tương lai.
Sau 1 tuần từ sự cố hack xuất phát bởi lỗ hổng bộ công cụ Connect-Kit do Ledger phát triển gây thiệt hại khoảng 600.000 USD tài sản người dùng, hôm nay thương hiệu ví cứng crypto hàng đầu đã công bố kế hoạch bồi thường cùng giải pháp khắc phục hậu quả lâu dài của mình.
Theo đó, Ledger cam kết bồi thường 100% thiệt hại cho tất cả nạn nhân trước cuối tháng 02/2024. Đồng thời hợp tác với các nền tảng ứng dụng phi tập trung dApps tích hợp tiêu chuẩn ký “Clear Signing” thay vì “Blind Signing” để ngăn sự việc tấn công Front-end tương tự có thể xảy ra trong tương lai.
Dự kiến tiêu chuẩn mới sẽ được áp dụng cho toàn bộ thiết bị Ledger và tất cả các dApps kết nối từ tháng 06/2024.
- We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger… - — Ledger (@Ledger) December 20, 2023
Thư viện của Ledger trước đó đã xuất hiện lỗ hổng khiến cho hàng loạt dApps phổ biến như Hey, SushiSwap, Zapper hay trang web huỷ cấp quyền token là Revoke cũng nằm trong danh sách các website bị ảnh hưởng.
Nguyên nhân được xác định bởi bộ công cụ Connect-Kit do Ledger phát triển đã bị hacker chèn mã độc, dẫn đến việc front-end các dự án bị chiếm quyền, có thể tự động rút tài sản người dùng nếu xuất hiện bất cứ tương tác nào.
Theo giải thích từ Ledger, giải pháp mới “Clear Signing” sẽ giúp người dùng có thể xem nội dung và xác minh chính xác những gì họ ký trên màn hình một cách an toàn. Trái ngược với “Blind Signing”, người dùng không nắm rõ họ đang xác thực cho điều gì, do đó sẽ có nguy cơ bị tấn công.
Cuối thông báo, Ledger cho biết đội ngũ bảo mật của dự án đang tích cực làm việc để ứng dụng công nghệ trong việc xử lý vấn đề cũng như liên hệ với các nạn nhân để sớm bồi thường trong thời gian nhanh nhất.
Đồng thời kêu gọi các nhà phát triển dApps nhanh chóng tích hợp tính năng “Clear Signing” để bảo vệ người dùng, và khẳng định các thiết bị Ledger hay Ledger Live vẫn an toàn, không bị ảnh hưởng bởi sự cố này.