Ledger hứa bồi thường cho nạn nhân vụ hack loạt DApp
Ngày 14/12, hacker đã lừa đảo một cựu nhân viên của Ledger và giành quyền truy cập vào trình quản lý dữ liệu công ty. Sau đó, thủ phạm tải mã độc lên Ledger ConnectKit. Đây là kho dữ liệu cho phép các nhà phát triển kết nối DApp của họ với ví cứng Ledger bằng cách sử dụng Ledger Extension hay Ledger Live.
Thời điểm đó, đại diện Sushi và một số giao thức khác đã xác nhận bị ảnh hưởng bởi vụ việc. Họ cảnh báo bất cứ DApp nào liên quan đến thư viện dữ liệu Web3 của Ledger đều có nguy cơ nhiễm mã độc và khuyến cáo người dùng không tương tác với các DApp nói chung để đảm bảo an toàn.
Theo Ledger, kẻ tấn công đã kiếm được 600,000 USD. Công ty đang lên kế hoạch bồi thường toàn bộ cho các nạn nhân và phối hợp với cơ quan thực thi pháp luật để theo dõi hacker và thu hồi tiền. Sau cuộc tấn công, Tether đã đóng băng địa chỉ của hacker, địa chỉ này cũng đã được công bố cho Chainalysis.
"Chúng tôi cam kết hoàn tiền cho các nạn nhân trước cuối tháng 2/2024. Chúng tôi đã liên lạc với nhiều người dùng bị ảnh hưởng và đang tích cực làm việc thông qua chi tiết cụ thể với họ", công ty viết trên Twitter.
Ngoài ra, công ty dự định loại bỏ tính năng Blind Sign, tức ký mà không hiển thị chi tiết giao dịch, vào tháng 6/2024. Màn hình nhỏ của Ledger thường yêu cầu phân trang thông qua nhiều màn hình hiển thị chi tiết giao dịch, đó là lý do tại sao người dùng thường chọn Blind Sign.
Trong các bài đăng Twitter sau cuộc tấn công, công ty khuyến khích người dùng chỉ sử dụng Clear Sign. "Cam kết của chúng tôi là làm việc với cộng đồng và hệ sinh thái dapp để cho phép Clear Sign để người dùng có thể xác minh tất cả giao dịch trên các thiết bị Ledger trước khi ký. Chúng tôi sẽ lập tiêu chuẩn mới để bảo vệ người dùng và khuyến khích Clear Sign trên các DApp", Ledger cho biết.