Desenvolvedores descobriram uma grande vulnerabilidade na Ledger, famosa carteira de hardware de criptomoedas. Segundo as denúncias, o Ledger Connect Kit estaria usando um código de terceiros que foi comprometido nesta quinta-feira (14).
As informações foram confirmadas pela própria Ledger agora há pouco, que notou que a falha está apenas no Ledger Connect Kit. Como recomendação, a empresa pediu para que os usuários não interajam com nenhum dApp por enquanto.
“Identificamos e removemos uma versão maliciosa do Ledger Connect Kit.”
“Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApp no momento. Manteremos você informado à medida que a situação evoluir”, comentou a Ledger. “Seu dispositivo Ledger e o Ledger Live não foram comprometidos.”
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
A vulnerabilidade no Ledger Connect Kit
Em suma, o Ledger Connect Kit é uma ferramenta que permite que usuários se conectem a aplicativos descentralizados (dApps), incluindo corretoras descentralizadas e outros serviços.
Como solução, a Ledger utilizava uma biblioteca de terceiros em seu código, hospedada na JSDelivr. Tal biblioteca foi comprometida. As diferenças entre os códigos podem ser vistas ao comparar versões arquivadas com a nova.
Para chamar atenção dos mais leigos, alguns desenvolvedores deram destaque a palavra ‘drainer’ (drenador) no novo código, usada por diversas vezes.
“Há um ataque de fornecimento a um conector popular, o Ledger Connect Kit. Ele foi infectado por um drainer, o que você pode confirmar analisando o código.”
A really serious issue is currently unfolding across most hosted crypto frontends.
There is a supply attack on a popular connector, the @Ledger connect-kit.
It has been infected with a drainer, which you can confirm by deobfuscating the code.
Be extra vigilant! pic.twitter.com/rwQBmUHMct
— Lefteris Karapetsas | Hiring for @rotkiapp (@LefterisJP) December 14, 2023
Sendo assim, os investidores vulneráveis seriam aqueles que se conectam a dApps usando a Ledger. Segundo análise do código, os hackers estavam tentando roubar criptomoedas, tokens e NFTs.
De acordo com a Blokseers, o endereço para onde os fundos foram drenados recebeu cerca de 521 mil dólares em diversas criptomoedas, incluindo:
- Ethereum $110k
- Base $55.1k
- Bnb chain $37.31k
- Arbitrum $36.79k
- Polygon $18.3k
- Alavanche 8.95k
Serviços pedem para que usuários aguardem novas instruções
Antes mesmo da Ledger se pronunciar oficialmente sobre o assunto, diversos serviços respeitados já haviam reconhecido a brecha de segurança e realizado recomendações aos seus usuários. O destaque fica para a SushiSwap e o RevokeCash.
“Alerta de segurança urgente. Identificamos um problema crítico, o Ledger Connector foi comprometido, permitindo potencialmente a injeção de código malicioso que afeta vários dApps”, escreveu a corretora descentralizada SushiSwap. “Se você estiver com a página do Sushi aberta e vir um pop-up inesperado dizendo ‘Conectar carteira’, NÃO interaja, nem conecte sua carteira.”
“Estamos trabalhando ativamente para remover o conector da carteira Ledger. Para sua segurança, evite interagir com quaisquer dApps até novo aviso. Fique ligado nas atualizações.”
🚨 Urgent Security Alert 🚨
We've identified a critical issue the ledger connector has been compromised, potentially allowing the injection of malicious code affecting various dApps.
🔴 If you have the Sushi page open and see an unexpected 'Connect Wallet' pop-up, DO NOT… https://t.co/alGVbnPfHW
— Sushi.com (@SushiSwap) December 14, 2023
Já o RevokeCash, ferramenta usada para remover permissões de carteiras, também foi comprometido. Ou seja, quem tentou usar o serviço, ficou exposto aos hackers. A empresa também alertou seus usuários nas redes sociais.
“Aviso: Vários aplicativos populares criptomoedas que se integram à biblioteca ConnectKit da Ledger, incluindo o Revoke Cash, foram comprometidos”, escreveram os desenvolvedores. “Tiramos o site do ar temporariamente enquanto investigamos mais detalhadamente.”
“Recomendamos que você não use nenhum site de criptomoedas enquanto este exploit estiver em andamento.”
⚠️⚠️⚠️⚠️⚠️⚠️
Warning: Multiple popular crypto applications that integrate with Ledger's ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we're investigating further. We recommend not using *any* crypto website…— Revoke.cash (@RevokeCash) December 14, 2023
Ledger passa por mais uma crise de confiança
Localizada na França, a Ledger se envolveu em diversas polêmicas nos últimos anos. Ainda em 2020, toda sua base de dados foi exposta, vazando dados sensíveis de clientes que compraram carteiras diretamente com a fabricante.
Já no início deste ano, a empresa foi amplamente criticada após apresentar uma ferramenta na qual as chaves privadas dos usuários seriam salvas em nuvem. Embora se trate de um serviço opcional, muitos se sentiram ameaçados, acreditando que suas chaves privadas pudessem ser extraídas de suas carteiras caso a empresa quisesse.
Por fim, recentemente a Ledger foi acusada de coletar diversos dados de seus usuários, incluindo saldos e até mesmo cliques. A vulnerabilidade de hoje parece ser apenas mais um dos tantos problemas da empresa.
“Por que minha Ledger está mostrando zero de saldo? Provavelmente porque retirei todo o meu dinheiro, não deixando nada em um produto francês”, escreveu um usuário nesta manhã, brincando com a situação da Ledger.
Probably because I withdrew all my money to get nothing on a French product. pic.twitter.com/EMfOdV4NnD
— chris (@ChrisSmiiic) December 14, 2023
