Penyedia hardware wallet kripto, Ledger telah berjanji untuk mengganti semua aset yang dicuri dalam eksploitasi Ledger Connect Kit pada 14 Desember lalu. Eksploitasi tersebut menyebabkan puluhan aplikasi terdesentralisasi (dApss) disusupi, dan aset senilai US$600.000 (Rp9,3 miliar) dicuri.

Ledger mengatakan bahwa pengembalian dana kepada semua korban diharapkan akan selesai sebelum Februari 2024. Sebagai bagian dari upaya pengembalian dana, perusahaan mengklaim telah melakukan kontak dengan banyak pengguna yang terkena dampak, dan sedang berupaya mengatasi rincian-rincian khusus terkait situasi tersebut dengan mereka.

“Kami berkomitmen, dengan cara apa pun yang memungkinkan, termasuk niat baik, untuk memastikan hal ini terlaksana pada akhir Februari 2024. Kami telah melakukan kontak dengan banyak pengguna yang terkena dampak dan secara aktif membahas hal-hal spesifik dengan mereka,” tulis Ledger di X (Twitter) pada hari Rabu (20/12).

Pengembalian dana ini merupakan bukti janji awal CEO Ledger, Pascal Gauthier pada hari peretasan. “Komitmen pribadi saya: Ledger akan mendedikasikan sebanyak mungkin sumber daya internal dan eksternal untuk membantu individu yang terkena dampak memulihkan aset mereka,” tulis Gauthier pada 14 Desember.

Ledger akan Tingkatkan Keamanan

Selain berkomitmen mengganti kerugian korban peretasan, Ledger juga mengumumkan perubahan kebijakan untuk meningkatkan keamanan bagi penggunanya.

Sehubungan dengan hal tersebut, perusahaan akan menonaktifkan fitur Blind Signing, dan mendorong pengembang untuk mengadopsi Clear Signing sebagai standar baru untuk dApps. Fitur Blind Signing memungkinkan pengguna menyetujui transaksi tanpa tanpa memiliki akses ke informasi terkait transaksi tersebut, sementara Clear Signing akan menjelaskan setiap transaksi.

“Kami mengumumkan bahwa pada bulan Juni 2024, pengguna tidak lagi dapat melakukan Blind Sign pada perangkat Ledger. Komitmen kami adalah bekerja sama dengan komunitas dan ekosistem dApp untuk memungkinkan Clear Signing sehingga pengguna dapat memverifikasi semua transaksi di perangkat Ledger sebelum penandatanganan," tulis mereka dalam postingan pengumumannya.

"Serangan front-end telah terjadi berkali-kali dan akan terus mengganggu ekosistem kita. Satu-satunya tindakan pencegahan yang sangat mudah untuk jenis serangan ini adalah dengan memverifikasi apa yang Anda setujui pada perangkat Anda,” tambahnya.

Bagaimana Peretas Mengeksploitasi Connect Kit?

Peretasan pada 14 Desember terjadi setelah seorang mantan karyawan Ledger mengeklik tautan phising yang memungkinkan peretas mendapatkan akses ke akun GitHub karyawan tersebut, di mana ia masih memiliki akses ke kode Ledger.

Peretas kemudian mengganti kode Ledger Connect Kit, sebuah infrastruktur yang digunakan di sejumlah dApps, dengan versi berbahaya. Menurut Ledger, kode berbahaya tersebut aktif selama sekitar lima jam, sebelum akhirnya diidentifikasi dan dihapus.

Namun, Ledger mengingatkan kepada pengguna bahwa jika mereka telah menandatangani transaksi pada DApps yang terdampak pada 14 Desember 2023, maka mereka harus mencabut transaksi yang diotorisasi untuk mengurangi dampak dari kode berbahaya tersebut.