Após o recente incidente de segurança que resultou no roubo de aproximadamente US$ 600 mil em criptomoedas, a Ledger, fabricante de carteiras de hardware, anunciou medidas para reforçar a segurança de seu dispositivo e reembolsar as vítimas afetadas.
O ataque, que ocorreu em 14 de dezembro de 2023, envolveu “blind signing” (assinatura cega) em DApps (Aplicações Descentralizadas) baseadas em Ethereum Virtual Machine (EVM).
Em resposta, a Ledger prometeu reembolsar todas as vítimas do hack, incluindo aquelas que não são clientes da Ledger, conforme afirmado pelo CEO da empresa, Pascal Gauthier.
De acordo com o comunicado publicado no Twitter e no blog oficial da empresa, a Ledger se comprometeu a resolver a situação até o final de fevereiro de 2024. A empresa disse estar em contato com muitos usuários roubados e trabalha ativamente nos detalhes de reembolso.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
Ledger desativa assinatura cega em Dapps
A Ledger também anunciou uma grande mudança na funcionalidade de seus dispositivos: a partir de junho de 2024, não será mais possível realizar “blind signing” com carteiras Ledger.
A empresa disse que vai se comprometer para permitir o “Clear Signing” (assinatura clara), onde os usuários podem verificar todas as transações em dispositivos Ledger antes de assiná-las.
A medida visa estabelecer um novo padrão para proteger os usuários e incentivar o “Clear Signing” em DApps.
A Ledger destacou que ataques de front-end ocorreram muitas vezes antes e continuarão a desafiar o ecossistema. A medida mais eficaz contra esse tipo de ataque é sempre verificar o conteúdo do consentimento no dispositivo.
O “Clear Signing”, que permite aos usuários ver e verificar exatamente o que estão assinando em uma tela segura, é fundamental para evitar riscos.
A empresa pediu que os desenvolvedores de DApps apoiem a implementação do “Clear Signing”, convidando-os a entrar em contato através do portal de desenvolvedores da Ledger ou do Discord para colaborar na adição da funcionalidade às suas DApps.
Um relatório detalhado sobre a causa do hack e a resposta da equipe de segurança da Ledger pode ser encontrado no blog técnico e de segurança da empresa.
Por fim, a Ledger afirmou que os dispositivos Ledger e o Ledger Live ‘sempre foram seguros’ para uso e não foram vulneráveis ao exploit. Para aqueles que acreditam ter sido afetados pelo ataque, a empresa aconselha entrar em contato através do Ledger Help Center.