Hardware wallet-bedrijf Ledger heeft eindelijk gereageerd op het recente beveiligingsprobleem in zijn producten dat eerder deze maand aan het licht kwam.
Op 14 december kondigde Ledger aan dat een van zijn medewerkers het slachtoffer was geworden van een phishing-aanval waardoor een kwaadaardige versie van de Ledger Connect Kit gepubliceerd kon worden. Hierdoor werden gebruikers getroffen die verbinding maakten met gedecentraliseerde applicaties (DApps).
Na de exploit bevroor Tether, de grootste uitgever van stablecoins ter wereld, het USDT-adres van de aanvaller, waardoor een groot deel van het geld niet kon worden verplaatst.
In een verklaring op het social mediaplatform X zei Ledger dat het op de hoogte is van de diefstal van ongeveer $600.000, en gaf aan dat het zich inzet om de getroffen gebruikers terug te betalen en te voorkomen dat iets soortgelijks opnieuw gebeurt. Het ging verder met:
“We committen ons, inclusief gebaren van goede wil, om ervoor te zorgen dat dit tegen eind februari 2024 gebeurt. We hebben al contact met veel getroffen gebruikers en werken actief samen met hen aan de details.
We herinneren gebruikers eraan dat als u op 14 december 2023 een transactie zou ondertekenen op de getroffen DApps, de beste beveiligingspraktijken zouden aanraden om alle geautoriseerde transacties in te trekken om de impact van de kwaadaardige code verder te verminderen.”
Ledger vervolgde met stellen dat het in de toekomst ook de optie gaat uitschakelen om transacties blind te ondertekenen. Normaal gesproken moeten gebruikers transacties ‘ondertekenen’ voordat ze een smart contract met hun portemonnee kunnen laten communiceren, en door blind te ondertekenen kunnen ze dit proces overslaan. Ledger streeft er echter nu naar om dit voor zijn gebruikers te verbieden:
“Front-end aanvallen zijn al vele malen eerder gebeurd en zullen ons ecosysteem blijven teisteren. De enige onfeilbare tegenmaatregel voor dit soort aanvallen is om altijd te verifiëren waar je mee instemt op je apparaat.”