O fabricante de carteiras de hardware Ledger alertou os usuários para não se conectarem a aplicativos descentralizados (dapps), depois que uma versão maliciosa do Ledger Connect Kit foi identificada.
Um porta-voz da Ledger disse à TCN que, “Identificamos e removemos uma versão maliciosa do Ledger Connect Kit. Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento. O porta-voz acrescentou que os dispositivos Ledger e seu aplicativo Ledger Live não foram comprometidos e que a empresa “manterá os usuários informados conforme a situação evolui”.
O desenvolvedor de carteira de software MetaMask também alertou os usuários para “parar de usar dapps” quando a notícia do ataque foi divulgada.
A versão comprometida do Connect Kit, uma biblioteca que permite que a carteira de hardware Ledger se conecte com dapps, foi identificada pela primeira vez por desenvolvedores postando no Twitter.
Identificámos e removemos uma versão maliciosa do Ledger Connect Kit.
Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento. Iremos mantê-lo informado à medida que a situação evolui.
Seu dispositivo Ledger e…
– Ledger (@Ledger) December 14, 2023
A empresa de segurança BlockAid relatou que, “O atacante injetou uma carga útil de drenagem de carteira” no pacote NPM do kit ledgerconnect, acrescentando que os dapps que usam as versões 1.1.4 e superiores do kit de conexão do Ledger, incluindo Sushi.com e Hey.xyz, foram afetados.
Detectámos um potencial ataque à cadeia de fornecimento do kit ledgerconnect
O atacante injetou uma carga útil de drenagem de carteira no popular pacote NPM.
Isso atualmente afeta alguns dapps populares, incluindo, mas não se limitando a https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) December 14, 2023
SushiSwap CTO Matthew Lilley castigou Ledger por uma “cadeia de erros terríveis”, explicando que “um conetor web3 comumente usado foi comprometido, o que permite a injeção de código malicioso que afeta vários dApps”.
Ele acrescentou que os usuários devem evitar usar qualquer dapps “até que suas equipes confirmem que mitigaram o ataque”.
Hudson Jameson, ligação do desenvolvedor do núcleo Ethereum, explicou que, “Uma biblioteca que é usada por muitos dapps que é mantida por Ledger foi comprometida e um drenador de carteira foi adicionado.” Reiterando que, “é arriscado usar dapps atualmente se você não entender quais bibliotecas de back-end eles usam”, Jameson acrescentou que, “Mesmo depois que o Ledger corrige o código incorreto em sua biblioteca, os projetos que usam e implantam essa biblioteca precisarão atualizar as coisas antes que seja seguro usar dapps que usam as bibliotecas web3 do Ledger.
Ledger tem enfrentado críticas sobre sua segurança nos últimos meses, com o serviço voluntário de recuperação baseado em ID da empresa atraindo a ira dos usuários de criptografia.
O serviço, que não está relacionado ao ataque de hoje, divide a frase-semente do usuário e a armazena com três custodiantes separados, exigindo que o usuário forneça seu passaporte ou carteira de identidade nacional como identificação. Com os utilizadores irados a apelidarem o serviço de “backdoor”, o cofundador da Ledger, Éric Larchevêque, apelidou o lançamento do serviço de “um fracasso total de relações públicas, mas não de um fracasso técnico”.
Em novembro, um aplicativo Ledger fraudulento na Microsoft App Store drenou quase US $ 1 milhão de clientes desavisados, enquanto em 2020 a empresa enfrentou críticas depois que um banco de dados de e-mail de clientes foi hackeado, com mais de um milhão de e-mails de usuários comprometidos.
