Está a ocorrer um ataque em grande escala que pode potencialmente afetar todas as aplicações descentralizadas (dApps) que incorporam o kit de ligação da Ledger. Atualmente, recomenda-se que NÃO visite nenhum site que ofereça a funcionalidade Web3 wallet connect
DTD 15:18: A atualização do Ledger está a ser implementada, de acordo com a empresa. Ledger também disse que um “relatório completo” será publicado assim que estiver pronto.
ATUALIZAÇÃO 15:06: A Banteg publicou uma mensagem informando que a Ledger implementou uma atualização e que o código malicioso foi excluído. No entanto, ainda é recomendável não interagir com qualquer aplicativo que permita a conexão da Wallet, pois a propagação pode levar algum tempo.
Atualização 15:03: De acordo com Igor Igamberdiev, o código malicioso foi implementado esta manhã por volta das 8h44, pelo que é provável (mas não certo) que as carteiras potencialmente em risco sejam aquelas que interagiram com o Connect Kit da Ledger depois dessa hora.
ATUALIZAÇÃO 14:57: De acordo com o investigador da cadeia ZachXBT, mais de US $ 610.000 já foram roubados por meio da falha. De acordo com os dados da Arkham Intelligence, acredita-se que o endereço citado por ZachXBT tenha enviado fundos para Angel Drainer, cuja carteira totaliza mais de US $ 1 milhão.
Este pode ser um dos maiores ataques de sempre ao ecossistema Web3: parece que todas as aplicações descentralizadas (dApps) que incorporam a ferramenta de ligação Ledger estão infectadas e o seu código foi substituído por uma funcionalidade de drenagem.
A falha foi inicialmente comunicada pelo protocolo Sushi, que retirou o seu site do ar por razões de segurança, e que nos informa que o problema teve origem no Ledger:
Alerta de segurança urgente
Identificamos um problema crítico que o conetor do ledger foi comprometido, permitindo potencialmente a injeção de código malicioso que afeta vários dApps.
Se tiveres a página do Sushi aberta e vires um pop-up inesperado ‘Connect Wallet’, NÃO… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Matthew Lilley, CTO da Sushi, afirmou que a falha teve origem no Ledger e, mais especificamente, no seu Connect Kit, que é responsável pela gestão da interação com aplicações descentralizadas. A lista de aplicações potencialmente afectadas pode ser consultada aqui. Estas são todas as aplicações que integram esta funcionalidade do Ledger
QUALQUER dApp que utilize o LedgerHQ/connect-kit é vulnerável. Não use NENHUM dApps até novo aviso. Este não é um ataque isolado, é um ataque em grande escala a várias dApps. https://t.co/a3brXNQSx9
– I’m Software (@MatthewLilley) December 14, 2023
Este ataque é ainda mais desonesto na medida em que também infectou sites que permitem a revogação de autorizações concedidas a contratos inteligentes, como o Revoke.Cash, que também colocou o seu site offline para mitigar potenciais perdas para os seus utilizadores. A Revoke.Cash recomenda que NÃO se utilize qualquer site que se ligue a uma carteira Web3.
Para sua informação, aqui está uma pré-visualização da janela que contém o código malicioso:
Um exemplo do código implantado (a janela aparece acima da conexão real): https://t.co/7J34ArOTLR
– OAK (@oak_en) December 14, 2023
A ledger emitiu uma declaração sobre X sem fornecer qualquer informação adicional:
Identificámos e removemos uma versão maliciosa do Ledger Connect Kit.
Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento. Iremos mantê-lo informado à medida que a situação evolui.
O seu dispositivo Ledger e…
– Ledger (@Ledger) December 14, 2023
