Carteira de criptomoedas Ledger é comprometida e alerta usuários: “não use nenhum aplicativo”

O Ledger Connect Kit é uma ferramenta que permite que usuários se conectem a aplicativos descentralizados (dApps), incluindo corretoras descentralizadas e outros serviços.

Desenvolvedores descobriram uma grande vulnerabilidade na Ledger, famosa carteira de hardware de criptomoedas. Segundo as denúncias, o Ledger Connect Kit estaria usando um código de terceiros que foi comprometido nesta quinta-feira (14).

As informações foram confirmadas pela própria Ledger agora há pouco, que notou que a falha está apenas no Ledger Connect Kit. Como recomendação, a empresa pediu para que os usuários não interajam com nenhum dApp por enquanto.

“Identificamos e removemos uma versão maliciosa do Ledger Connect Kit.”

“Uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApp no momento. Manteremos você informado à medida que a situação evoluir”, comentou a Ledger. “Seu dispositivo Ledger e o Ledger Live não foram comprometidos.”

A vulnerabilidade no Ledger Connect Kit

Em suma, o Ledger Connect Kit é uma ferramenta que permite que usuários se conectem a aplicativos descentralizados (dApps), incluindo corretoras descentralizadas e outros serviços.

Como solução, a Ledger utilizava uma biblioteca de terceiros em seu código, hospedada na JSDelivr. Tal biblioteca foi comprometida. As diferenças entre os códigos podem ser vistas ao comparar versões arquivadas com a nova.

Para chamar atenção dos mais leigos, alguns desenvolvedores deram destaque a palavra ‘drainer’ (drenador) no novo código, usada por diversas vezes.

“Há um ataque de fornecimento a um conector popular, o Ledger Connect Kit. Ele foi infectado por um drainer, o que você pode confirmar analisando o código.”

Sendo assim, os investidores vulneráveis seriam aqueles que se conectam a dApps usando a Ledger. Segundo análise do código, os hackers estavam tentando roubar criptomoedas, tokens e NFTs.

De acordo com a Blokseers, o endereço para onde os fundos foram drenados recebeu cerca de 521 mil dólares em diversas criptomoedas, incluindo:

  • Ethereum $110k
  • Base $55.1k
  • Bnb chain $37.31k
  • Arbitrum $36.79k
  • Polygon $18.3k
  • Alavanche 8.95k

Serviços pedem para que usuários aguardem novas instruções

Antes mesmo da Ledger se pronunciar oficialmente sobre o assunto, diversos serviços respeitados já haviam reconhecido a brecha de segurança e realizado recomendações aos seus usuários. O destaque fica para a SushiSwap e o RevokeCash.

“Alerta de segurança urgente. Identificamos um problema crítico, o Ledger Connector foi comprometido, permitindo potencialmente a injeção de código malicioso que afeta vários dApps”, escreveu a corretora descentralizada SushiSwap. “Se você estiver com a página do Sushi aberta e vir um pop-up inesperado dizendo ‘Conectar carteira’, NÃO interaja, nem conecte sua carteira.”

“Estamos trabalhando ativamente para remover o conector da carteira Ledger. Para sua segurança, evite interagir com quaisquer dApps até novo aviso. Fique ligado nas atualizações.”

Já o RevokeCash, ferramenta usada para remover permissões de carteiras, também foi comprometido. Ou seja, quem tentou usar o serviço, ficou exposto aos hackers. A empresa também alertou seus usuários nas redes sociais.

“Aviso: Vários aplicativos populares criptomoedas que se integram à biblioteca ConnectKit da Ledger, incluindo o Revoke Cash, foram comprometidos”, escreveram os desenvolvedores. “Tiramos o site do ar temporariamente enquanto investigamos mais detalhadamente.”

“Recomendamos que você não use nenhum site de criptomoedas enquanto este exploit estiver em andamento.”

Ledger passa por mais uma crise de confiança

Localizada na França, a Ledger se envolveu em diversas polêmicas nos últimos anos. Ainda em 2020, toda sua base de dados foi exposta, vazando dados sensíveis de clientes que compraram carteiras diretamente com a fabricante.

Já no início deste ano, a empresa foi amplamente criticada após apresentar uma ferramenta na qual as chaves privadas dos usuários seriam salvas em nuvem. Embora se trate de um serviço opcional, muitos se sentiram ameaçados, acreditando que suas chaves privadas pudessem ser extraídas de suas carteiras caso a empresa quisesse.

Por fim, recentemente a Ledger foi acusada de coletar diversos dados de seus usuários, incluindo saldos e até mesmo cliques. A vulnerabilidade de hoje parece ser apenas mais um dos tantos problemas da empresa.

“Por que minha Ledger está mostrando zero de saldo? Provavelmente porque retirei todo o meu dinheiro, não deixando nada em um produto francês”, escreveu um usuário nesta manhã, brincando com a situação da Ledger.

💰 $100 de bônus de boas vindas. Crie sua conta na maior corretora de criptomoedas do mundo e ganhe até 100 USDT em cashback. Acesse Binance.com

Entre no nosso grupo exclusivo do WhatsApp | Siga também no Facebook, Twitter, Instagram e YouTube.

Henrique HK
Henrique HKhttps://github.com/sabotag3x
Formado em desenvolvimento web há mais de 20 anos, Henrique Kalashnikov encontrou-se com o Bitcoin em 2016 e desde então está desvendando seus pormenores. Tradutor de mais de 100 documentos sobre criptomoedas alternativas, também já teve uma pequena fazenda de mineração com mais de 50 placas de vídeo. Atualmente segue acompanhando as tendências do setor, usando seu conhecimento para entregar bons conteúdos aos leitores do Livecoins.

Últimas notícias