A fabricante de carteiras de criptomoedas Ledger confirmou que a exploração que a levou a recomendar que usuários parassem de usar dApps começou porque um ex-funcionário caiu em um golpe de phishing.
O nome e o endereço de e-mail do ex-funcionário apareceram no código comprometido. Inicialmente, a comunidade cripto entendeu que isso significava que o próprio desenvolvedor era responsável pelo ataque, mas a Ledger confirmou mais tarde que o problema começou porque “um ex-funcionário de Ledger foi vítima de um ataque de phishing”.
O invasor conseguiu obter acesso à conta NPMJS do ex-funcionário — um gerenciador de pacotes para a linguagem de programação JavaScript. Os pacotes são bibliotecas que os desenvolvedores podem usar para criar projetos, em vez de codificar tudo do zero. Na comunidade Web3, os desenvolvedores usam pacotes para tornar seus aplicativos descentralizados acessíveis a partir de diferentes carteiras.
Depois que o criminoso teve acesso ao NPMJS, ele publicou uma versão maliciosa do Ledger Connect Kit. Qualquer projeto que estivesse usando o Connect Kit conteria com um código malicioso que poderia redirecionar os fundos dos usuários para uma carteira de hackers. As versões afetadas do Connect Kit foram as 1.1.5, 1.1.6 e 1.1.7, que já foram removidas da página NPM da Ledger.
“As equipes de tecnologia e segurança da Ledger foram alertadas e uma correção foi implementada dentro de 40 minutos após a Ledger tomar conhecimento”, disse a empresa em comunicado. “O arquivo malicioso ficou ativo por cerca de 5 horas, mas acreditamos que a janela em que os fundos foram drenados foi limitada a um período de menos de duas horas.”
A Ledger agora diz que lançou uma nova versão do Connect Kit (1.1.8) e que todas as carteiras que o utilizam serão atualizadas automaticamente. Mas advertiu que os usuários ainda devem esperar 24 horas antes de tentar se conectar a um aplicativo descentralizado (dApps).
“A grande quantidade de repositórios apenas no GitHub que dependem do connect-kit-loader sugere que o dano causado à cadeia de suprimento de criptomoedas pode ser significativo, a menos que os desenvolvedores que usam esse pacote adotem uma rotina adequada de controle de consumo”, disse Ilkka Turunen, CTO da empresa de cibersegurança, Sonatype, ao Decrypt.
A vulnerabilidade causou pânico generalizado no setor.
Leia Também
“Estamos correndo sérios riscos se um desenvolvedor pode clicar em um link de phishing e comprometer quase todos os front-ends de aplicativos importantes do ecossistema”, escreveu o investidor e consultor Aftab Hossain (mais conhecido como DCInvestor) no X. “Leia essa frase várias vezes até internalizarmos o quanto isso é absurdo e inaceitável.”
put another way: we are seriously fucked if one dev can click on a phishing link and compromise almost every meaningful app's front-end in the ecosystem
— DCinvestor (@iamDCinvestor) December 14, 2023
read that sentence again and again until we internalize how absurd and unacceptable this is
Enquanto isso, a emissora de stablecoins Tether congelou os fundos vinculados à carteira usada por um explorador para drenar US$ 484 mil dos usuários de DeFi na manhã de quinta-feira (14), disse o CEO da Tether, Paolo Ardoino.
No momento em que este artigo foi escrito, a carteira tinha pouco mais de US$ 27 mil em USDT e um total de US$ 334.814. Em um determinado momento, a carteira continha até US$ 484 mil. Os dados on-chain mostram que os fundos estavam sendo transferidos para uma carteira vinculada a Angel Drainer. Suspeita-se que o grupo de phishing esteja envolvido em uma série de outros hacks de DeFi.
Os ativos roubados também contêm um NFT do Doodle, com o último preço de 3,9 ETH, que desde então foi marcado como “atividade suspeita” no OpenSea.
Os drainers funcionam convencendo os usuários a aprovar uma transação que, secretamente, dá ao hacker acesso a outros fundos em sua carteira. Os próprios drainers, que têm todos os tipos de nomes criativos, são alugados para grupos de hackers e os desenvolvedores originais ficam com uma parte dos ganhos ilícitos.
*Traduzido por Gustavo Martins com autorização do Decrypt.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.
