Atualização (14 de dezembro às 14:45 UTC): Este artigo foi atualizado para esclarecer que a Ledger supostamente corrigiu o problema.

A interface de várias aplicações descentralizadas (DApps) que usam o conector da Ledger, incluindo Zapper, SushiSwap, Phantom, Balancer e Revoke.cash, foram comprometidas em 14 de dezembro. Quase três horas após a descoberta da violação de segurança, a Ledger relatou que a versão maliciosa do arquivo foi substituída pela sua versão genuína por volta das 13:35 UTC.

A Ledger está alertando os usuários para "sempre Verificar Assinaturas" de transações, acrescentando que os endereços e as informações apresentadas na tela da Ledger são as únicas informações genuínas. “Se houver uma diferença entre a tela mostrada no seu dispositivo Ledger e a tela do seu computador/celular, interrompa essa transação imediatamente.”

Matthew Lilley, diretor técnico da SushiSwap, foi um dos primeiros a relatar o problema, observando que um conector Web3 comumente usado foi comprometido, permitindo a injeção de código malicioso em várias DApps. O analista de cadeia disse que a biblioteca da Ledger confirmou o comprometimento onde o código vulnerável inseriu o endereço da conta drainer.

Lilley culpou a Ledger pela vulnerabilidade e comprometimento contínuo em várias DApps. O executivo afirmou que a rede de entrega de conteúdo da Ledger foi comprometida, com JavaScript sendo carregado da rede comprometida.

O conector da Ledger é uma biblioteca usada por muitas DApps e mantida pela Ledger. Um drainer de carteira foi adicionado, então o esvaziamento de ativos da conta de um usuário pode não acontecer por conta própria. No entanto, prompts de uma carteira de navegador como MetaMask serão exibidos e podem dar acesso aos atores maliciosos aos ativos.

Lilley alertou os usuários para evitar quaisquer DApps que utilizem o conector da Ledger, acrescentando que o "connect-kit" também está vulnerável e que este não é um ataque isolado, mas sim um ataque em larga escala em múltiplos DApps.

O vice-presidente da Polygon Labs, Hudson Jameson, disse que mesmo após a Ledger corrigir o código ruim em sua biblioteca, os projetos que usam e implantam a biblioteca precisarão atualizar antes que seja seguro usar DApps que utilizem as bibliotecas Web3 da Ledger.

Ido Ben-Natan, co-fundador e CEO da Blockaid, disse ao Cointelegraph:

“Usuários da Ledger não estão em risco se não estiverem transacionando. Não é explorável em aprovações anteriores. O Revoke.cash especificamente está afetado, então não interaja com ele. O número de fundos impactados é de centenas de milhares de dólares nas últimas duas horas. Muitos sites ainda estão afetados, e os usuários estão sendo prejudicados.”

A Ledger reconheceu a vulnerabilidade em seu código e disse que "removeu uma versão maliciosa do Ledger Connect Kit", acrescentando que "uma versão genuína está sendo implementada para substituir o arquivo malicioso agora."

VEJA MAIS: