Ledger cam kết bồi thường đầy đủ cho các nạn nhân của cuộc tấn công ConnectKit trị giá 600.000 USD

Nhà sản xuất ví phần cứng Ledger đã phản hồi về một vụ vi phạm bảo mật gần đây dẫn đến việc tài sản của người dùng trị giá 600.000 USD bị đánh cắp.

Công ty đã cam kết tăng cường các giao thức bảo mật của mình bằng cách loại bỏ Ký mù, một quy trình trong đó các giao dịch được hiển thị bằng mã thay vì ngôn ngữ đơn giản, trước tháng 6 năm 2024.

Sổ cái chịu trách nhiệm về cuộc tấn công ConnectKit

Trong một tuyên bố, Ledger nhấn mạnh sự tập trung vào việc giải quyết sự cố bảo mật gần đây và ngăn chặn những sự cố tương tự trong tương lai.

Công ty thừa nhận khoảng 600.000 USD tài sản đã bị ảnh hưởng bởi cuộc tấn công ConnectKit, đặc biệt ảnh hưởng đến người dùng đăng nhập mù quáng trên các ứng dụng phi tập trung (dApps) của Máy ảo Ethereum (EVM).

Hơn nữa, Ledger cam kết đảm bảo các nạn nhân bị ảnh hưởng sẽ được bồi thường đầy đủ, bao gồm cả những khách hàng không sử dụng Ledger, với sự đích thân của Chủ tịch Giám đốc điều hành Pascal Gauthier giám sát quá trình bồi thường.

Theo tuyên bố, Ledger đã bắt đầu liên hệ với những người dùng bị ảnh hưởng và đang tích cực làm việc với họ để giải quyết các tình huống cụ thể của họ.

Ngoài ra, đến tháng 6 năm 2024, ký tên mù sẽ không còn được hỗ trợ trên các thiết bị Ledger, góp phần tạo nên tiêu chuẩn mới về bảo vệ người dùng và ủng hộ Clear Signing, đề cập đến quy trình cho phép người dùng xác minh giao dịch trên thiết bị Ledger của họ trước khi ký chúng trên dApps.

Về vấn đề này, Giám đốc điều hành Ledger Pascal Gauthier đã tuyên bố:

Cam kết cá nhân của tôi: Ledger sẽ dành nhiều nguồn lực bên trong và bên ngoài nhất có thể để giúp các cá nhân bị ảnh hưởng lấy lại tài sản của họ.

Các biện pháp bảo mật dApp nâng cao

Theo báo cáo sự cố do nhà sản xuất ví phần cứng công bố, cuộc tấn công đã khai thác Ledger Connect Kit, tiêm mã độc vào dApps bằng cách sử dụng bộ công cụ này.

Mã độc hại này đã chuyển hướng tài sản đến ví của kẻ tấn công, lừa người dùng EVM dApp vô tình ký các giao dịch làm cạn kiệt ví của họ.

Ledger đã giải quyết cuộc tấn công bằng cách triển khai bản sửa lỗi chính hãng cho Connect Kit trong vòng 40 phút kể từ khi phát hiện. Mã bị xâm phạm vẫn có thể truy cập được trong một thời gian giới hạn do tính chất của mạng phân phối nội dung (CDN) và cơ chế lưu vào bộ nhớ đệm.

Ledger thừa nhận những rủi ro mà toàn ngành phải đối mặt trong việc bảo vệ người dùng và nhấn mạnh sự cần thiết phải liên tục nâng cao tiêu chuẩn bảo mật trong dApps.

Công ty có kế hoạch tăng cường kiểm soát truy cập, tiến hành test các công cụ nội bộ và bên ngoài, tăng cường ký mã và cải thiện hệ thống cảnh báo và giám sát cơ sở hạ tầng.

Ngoài ra, Ledger sẽ hướng dẫn người dùng về tầm quan trọng của Clear Signing và những rủi ro tiềm ẩn liên quan đến các giao dịch ký mù mà không có màn hình an toàn.

Đáng chú ý, với Clear Signing, người dùng được trình bày rõ ràng và dễ đọc về chi tiết giao dịch, cho phép họ xem xét và xác thực giao dịch trước khi cung cấp chữ ký của mình.

Lớp minh bạch và xác minh bổ sung này giúp người dùng giảm thiểu rủi ro liên quan đến các cuộc tấn công từ phía trước hoặc mã độc được đưa vào các ứng dụng phi tập trung

Biểu đồ 1 ngày cho thấy tổng giá trị vốn hóa thị trường tiền điện tử là 1,59 nghìn tỷ USD. Nguồn: TOTAL trên TradingView.com

Hình ảnh nổi bật từ Shutterstock, biểu đồ từ TradingView.com