A Ledger, fabricante de carteiras de hardware para criptomoedas, anunciou mudanças em seus processos de assinatura após um exploit de US$ 600.000 na semana passada.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
A empresa também prometeu que os usuários afetados pelo exploit do Connect Kit, ocorrido em 14 de dezembro, serão ressarcidos até o final de fevereiro de 2024. A Ledger identificou que aproximadamente US$ 600.000 em ativos foram roubados de usuários que realizaram assinaturas cegas em DApps baseadas em EVM.
A empresa está comprometida em trabalhar com o ecossistema de DApps para permitir a Assinatura Clara, e não permitirá mais a Assinatura Cega (Blind Signing) em dispositivos Ledger até junho de 2024.
Mudanças nos processos de assinatura
A Assinatura Cega refere-se a um processo em que um usuário é apresentado com dados brutos, interpretáveis por computadores, mas ilegíveis para humanos, para aprovar transações on-chain com sua chave privada.
A Assinatura Clara, por outro lado, resume uma transação para que o usuário possa revisar e entender antes de executá-la.
A Ledger explicou em um artigo de junho de 2022 que a Assinatura Clara permite que os usuários verifiquem todas as transações em dispositivos Ledger antes de assiná-las, levando a um novo padrão para proteger os usuários e incentivar a Assinatura Clara em DApps.
Compromisso com a segurança e devolução de fundos
A Ledger removeu o código malicioso após identificá-lo, mas organizações terceirizadas estimaram que cerca de US$ 500.000 em fundos foram afetados na época.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
A empresa reafirmou o compromisso do CEO e presidente, Pascal Gauthier, de garantir que as vítimas que tiveram seus ativos roubados em 14 de dezembro de 2023 pelo atacante, juntamente com o ‘angel drainer’, sejam ressarcidas, incluindo usuários que não são clientes da Ledger.
A empresa se compromete, por todos os meios possíveis, incluindo gestos de boa vontade, a garantir que isso seja feito até o final de fevereiro de 2024.
