Na quinta-feira (14), conforme noticiou o Bitnotícia, a Ledger, fabricante de carteiras de software e hardware, confirmou um ataque de segurança cibernética à sua biblioteca Ledger Connect Kit, amplamente utilizada no desenvolvimento de aplicações web3. O ataque ocorreu porque um ex-funcionário da empresa caiu em um golpe de phishing.
No mesmo dia da exploração, Pascal Gauthier, CEO da Ledger, publicou uma nota, chamando o incidente de “um infeliz evento isolado”.
“A prática padrão na Ledger é que ninguém pode implantar código sem revisão por várias partes. Temos fortes controles de acesso, revisões internas e múltiplas assinaturas de código na maioria de nossas áreas de desenvolvimento”, começou ele.
Gauthier também afirmou que qualquer funcionário que sai da empresa tem seu acesso revogado a todos os sistemas Ledger. Contudo, ele admitiu que todas essas boas práticas não foram suficientes para evitar o ataque.
“É um lembrete de que a segurança não é estática e que a Ledger deve melhorar continuamente nossos sistemas e processos de segurança”, refletiu o presidente e CEO da empresa. Diante disso, o executivo prometeu que a empresa implementará “controles de segurança mais robustos”.
Ledger promete melhorias após ataque
Uma potencial melhoria de segurança recomendada por Gauthier é a inclusão de “assinaturas claras” em todos os dApps. Além disso, ele propôs que o usuário veja de forma clara e confiável o que está assinando, a fim de evitar a execução involuntária de transações maliciosas, como ocorreu neste caso.
Como acompanhou o Bitnotícias, várias aplicações descentralizadas (DApps) que utilizam a biblioteca de conexão da Ledger foram comprometidas, incluindo plataformas conhecidas como SushiSwap e Revoke.cash.
A falha de segurança foi descoberta em 14 de dezembro, quando a Ledger identificou e substituiu uma versão maliciosa do arquivo por sua versão legítima.
O CTO da SushiSwap, Mathew Lilley, foi um dos primeiros a relatar o problema, destacando que um conector Web3 comumente usado foi comprometido, permitindo a injeção de código malicioso em várias DApps.
Diante do ataque, a equipe da Ledger reconheceu rapidamente o problema e removeu o código malicioso. No entanto, eles aconselharam os usuários a evitarem o uso de quaisquer dApps que utilizem o kit de conector do Ledger até novo aviso. Isso porque a vulnerabilidade ainda pode permitir transferências não autorizadas de fundos.
No mesmo dia, a Tether, emissora da stablecoin USDT, anunciou que congelou de forma proativa o endereço do hacker. CEO da Tether, Paolo Ardoino, anunciou o congelamento nas redes sociais horas depois que o hacker roubou cerca de US$ 484.000 do Kit.
- Leia também: BONK dispara mais de 80% após listagem na Binance
