Компанія також обіцяла відмовитися від використання «сліпого підпису» та замінити його способом підтвердження транзакцій, при якому можна буде побачити всі деталі операції.
Компанія Ledger пообіцяла відшкодувати $600 тис. у криптоактивах, вкрадених під час злому ПЗ у середині грудня у користувачів, включаючи тих, хто не є клієнтом Ledger. Розробники криптогаманців заявили, що намагатимуться зробити це до кінця лютого 2024 року.
14 грудня кодова бібліотека Ledger Connect Kit, яку використовують для авторизації багато великих криптосервісів, була зламана хакером, що дало можливість впровадити в код так званий дрейнер — шкідливий смарт-контракт, що дозволяє списувати всі кошти з гаманців користувачів при взаємодії з ним.
За даними Ledger, в результаті інциденту користувачі втратили близько $600 тис. При цьому в Ledger визнали, що крадіжка активів була скоєна при використанні жертвами “сліпого підпису” (Blind Signing) транзакцій децентралізованих додатків (dApps).
У Ledger заявили, що до червня 2024 компанія планує відмовитися від використання «сліпих підписів». Замість цього планується реалізувати механізм «прозорого» підпису (Clear Signing), коли користувачі можуть перевіряти дані транзакцій перед підписанням.
Глава Ledger Паскаль Готьє назвав причиною злому, що стався 14 грудня, атаку фішинга на одного з колишніх співробітників. За словами Готьє, Ledger та її партнер WalletConnect змогли усунути вразливість протягом 40 хвилин після виявлення.