A fabricante de carteiras de hardware Ledger alertou seus usuários para não se conectarem a aplicativos descentralizados (dApps) depois que uma versão maliciosa do Ledger Connect Kit foi identificada.
Um porta-voz da Ledger disse ao Decrypt que foi identificado e removido uma versão maliciosa do Ledger Connect Kit. “Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApps no momento”, alerta a empresa.
Os dispositivos Ledger e seu aplicativo Ledger Live não foram comprometidos e a empresa “manterá os usuários informados à medida que a situação evoluir”, disse o porta-voz.
Já o desenvolvedor de carteira de software MetaMask alertou os usuários para que “pararem de usar dApps” quando a notícia do ataque foi divulgada.
🚨Ledger users: @blockaid_ has identified an attack on Ledger Connect Kit. Please stop using dapps.https://t.co/seahVIMji1
— MetaMask 🦊🫰 (@MetaMask) December 14, 2023
Mais cedo, o diretor de tecnologia (CTO) do protocolo de finanças descentralizadas (DeFi) Sushi, Matthew Lilley, alertou sobre a exploração em todo o setor relacionada a problemas de segurança do Connect Kit da Ledger.
“Não interaja com NENHUM dApps até novo aviso”, escreveu o CTO da Sushi no X. “Parece que um conector web3 comumente usado foi comprometido.
No, LedgerHQ/connect-kit loads JS from a CDN, their CDN account has been compromised which is injecting malicious JS into multiple dApps.
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
“Identificamos um problema crítico: o conector da Ledger foi comprometido, potencialmente permitindo a inserção de código malicioso que afeta vários dApps”, escreveu a Sushi em um comunicado oficial. “Se você estiver com a página da Sushi aberta e vir um pop-up inesperado ‘Conectar carteira’, NÃO interaja nem conecte sua carteira.”
Lilley disse que o código suspeito vem da página GitHub do provedor de carteira de hardware Ledger. Um usuário no X apontou que a biblioteca da Ledger foi comprometida e substituída por um drenador de tokens. A exploração supostamente solicita que os usuários conectem suas carteiras por meio de um pop-up, que então aciona o ataque.
Uma exploração de front-end envolve hackers alterando a interface do usuário (IU) de um site ou aplicativo. Os hackers podem então alterar funções para desviar dinheiro. Uma exploração front-end não tem acesso às hot wallets de um protocolo.
Com essa falha descoberta hoje, front-ends de dapps como Kyber, RevokeCash, Zapper, além da Sushi, podem ficar vulneráveis se usados. Tanto Kyber quanto RevokeCash confirmaram no X que desabilitaram seus front-ends.
A empresa de segurança Blockaid descreveu isso como um “ataque à cadeia de suprimentos” no Ledger Connect Kit e afirmou que US$ 150 mil foram perdidos nas últimas horas.
- Quer ganhar mais com Ethereum? Abra sua conta no Mercado Bitcoin, a corretora mais segura do Brasil, e comece a fazer staking agora mesmo
