Il produttore di portafogli hardware Ledger ha avvertito gli utenti di non connettersi alle applicazioni decentralizzate (dapps), dopo che è stata identificata una versione dannosa del Ledger Connect Kit.
Un portavoce di Ledger ha dichiarato a TCN: “Abbiamo identificato e rimosso una versione dannosa del Ledger Connect Kit. Una versione autentica è in fase di distribuzione per sostituire il file dannoso. Per il momento non interagire con nessuna dApp”. Il portavoce ha aggiunto che i dispositivi Ledger e la sua app Ledger Live non sono stati compromessi e che l’azienda “terrà informati gli utenti sull’evolversi della situazione”.
Anche lo sviluppatore di portafogli software MetaMask ha avvertito gli utenti di “smettere di usare le dapps” non appena si è diffusa la notizia dell’attacco.
La versione compromessa del Connect Kit, una libreria che consente al portafoglio hardware Ledger di connettersi con le dapp, è stata identificata per la prima volta dagli sviluppatori che hanno postato su Twitter.
Abbiamo identificato e rimosso una versione dannosa di Ledger Connect Kit.
È in corso di distribuzione una versione autentica per sostituire il file dannoso. Per il momento non interagite con nessuna dApp. Vi terremo informati sull’evolversi della situazione.
Il vostro dispositivo Ledger e…
– Ledger (@Ledger) Dicembre 14, 2023
La società di sicurezza Web3 BlockAid ha riferito che “l’aggressore ha iniettato un payload che prosciuga il portafoglio” nel pacchetto NPM del kit Ledgerconnect, aggiungendo che sono state colpite le dapp che utilizzano le versioni 1.1.4 e superiori del connect-kit di Ledger, tra cui Sushi.com e Hey.xyz.
Abbiamo rilevato un potenziale attacco alla catena di fornitura del kit ledgerconnect
L’aggressore ha iniettato un payload che prosciuga il portafoglio nel popolare pacchetto NPM.
Attualmente questo problema riguarda un paio di dapp popolari, tra cui, ma non solo, https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
Matthew Lilley, CTO di SushiSwap, ha denunciato Ledger per una “catena di terribili errori”, spiegando che “un connettore web3 comunemente usato è stato compromesso, il che consente l’iniezione di codice dannoso che colpisce numerose dApp”.
Ha aggiunto che gli utenti dovrebbero evitare di utilizzare qualsiasi dapps “fino a quando i loro team non confermeranno di aver mitigato l’attacco”.
Hudson Jameson, responsabile degli sviluppatori di Ethereum, ha spiegato che “una libreria utilizzata da molte dapp, mantenuta da Ledger, è stata compromessa ed è stato aggiunto un wallet drainer”. Ribadendo che “attualmente è rischioso utilizzare le dapp se non si capisce quali librerie di backend utilizzano”, Jameson ha aggiunto che “anche dopo che Ledger avrà corretto il codice difettoso nella sua libreria, i progetti che utilizzano e distribuiscono tale libreria dovranno aggiornare le cose prima che sia sicuro utilizzare le dapp che utilizzano le librerie web3 di Ledger”.
Ledger ha affrontato critiche sulla sua sicurezza negli ultimi mesi, con il servizio di recupero volontario basato sull’ID che ha attirato le ire degli utenti di criptovalute.
Il servizio, che non è correlato all’attacco di oggi, divide la frase seme dell’utente e la memorizza presso tre custodi separati, richiedendo all’utente di fornire il proprio passaporto o la carta d’identità nazionale come documento d’identità. Con gli utenti irati che hanno definito il servizio una “backdoor”, il cofondatore di Ledger, Éric Larchevêque, ha definito il lancio del servizio “un totale fallimento a livello di pubbliche relazioni, ma assolutamente non a livello tecnico”.
A novembre, un’applicazione fraudolenta di Ledger sull’App Store di Microsoft ha prosciugato quasi 1 milione di dollari da clienti ignari, mentre nel 2020 l’azienda ha affrontato le critiche dopo che un database di e-mail dei clienti è stato violato, con oltre un milione di e-mail degli utenti compromesse.
