Várias aplicações descentralizadas (DApps) que utilizam a biblioteca de conexão da Ledger foram comprometidas, incluindo plataformas conhecidas como SushiSwap e Revoke.cash.
seems like the Ledger's @ledgerhq/connect-kit npm package was hacked, the latest publish was 2 hours ago. https://t.co/jFb6CThljS pic.twitter.com/AsbA675D9Q
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) December 14, 2023
A falha de segurança foi descoberta em 14 de dezembro, quando a Ledger identificou e substituiu uma versão maliciosa do arquivo por sua versão legítima.
🚨🚨🚨 RED ALERT 🚨🚨🚨:
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
O CTO da SushiSwap, Mathew Lilley, foi um dos primeiros a relatar o problema, destacando que um conector Web3 comumente usado foi comprometido, permitindo a injeção de código malicioso em várias DApps.
Lilley atribuiu a vulnerabilidade a um comprometimento da rede de entrega de conteúdo da Ledger, que resultou no carregamento de JavaScript malicioso.
- Leia também: Usuários revoltados com proposta da Gemini
Impacto e resposta à vulnerabilidade
A falha na biblioteca Ledger ConnectKit representa um risco significativo para os usuários e seus ativos. Projetos como Kyber e RevokeCash desativaram seus front-ends como medida de precaução.
A empresa de segurança Blockaid descreveu o incidente como um ‘ataque à cadeia de suprimentos’ no Ledger Connect Kit, estimando uma perda de cerca de US$ 150.000 em poucas horas. A Ledger confirmou a vulnerabilidade em seu código e trabalhou para substituir a versão maliciosa do arquivo.
Enquanto isso, usuários foram aconselhados a evitar interações com qualquer DApp até novo aviso.
Precauções e medidas de segurança
Usuários de aplicativos web de criptomoedas foram alertados para evitar essas plataformas até que as investigações sobre o incidente de segurança cibernética envolvendo a carteira de hardware Ledger fossem concluídas.
A exchange descentralizada SushiSwap desativou seu aplicativo web logo após os avisos. A Revoke.cash, um serviço que permite aos usuários de criptomoedas revogar poderes de assinatura de transações previamente concedidos a aplicativos Web3, também desativou seu front-end.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
A Ledger assegurou que os dispositivos Ledger e o Ledger Live não foram comprometidos, mas recomendou que os usuários evitassem aplicativos web de criptomoedas como medida de precaução.
