Atacante da biblioteca de códigos Ledger drena US$ 480 mil após comprometer dezenas de Web3 Dapps

Uma biblioteca de códigos mantida pelo provedor de carteira criptografada Ledger foi comprometida hoje, colocando os fundos dos usuários em risco por mais de cinco horas.

De acordo com etherscan.io, o endereço contém cerca de 66 ETH de 75 tokens, no valor de cerca de US$ 98,000, com Lookonchain relatando que o invasor conseguiu drenar US$ 484,000 em ativos. O endereço do invasor era na lista negra pelo emissor do USDT Tether.

Ledger, o maior fornecedor de carteiras de hardware em número de usuários, publicado no X que uma versão segura de seu Ledger Connect Kit está sendo propagada automaticamente. A empresa recomenda aguardar 24 horas antes de interagir novamente com o conector.

O invasor infectou o Connect Kit da Ledger – uma biblioteca de código popular que facilita as interações entre carteiras de usuários e dApps – com software malicioso em um chamado “ataque à cadeia de suprimentos”.

Usuários criptográficos em risco

Qualquer usuário que confirmasse transações com carteiras criptografadas, seja via Ledger ou não, corria o risco de perder fundos, já que muitos dapps web3 usam a biblioteca do Ledger. Desenvolvedores de criptografia proeminentes pediram aos usuários que não interagissem com nenhum web3 dApps.

Matthew Lilley, CTO do Sushi, sinalizou a exploração nas redes sociais. Banteg, um dos principais contribuidores do Yearn, postou que a biblioteca de Ledger foi comprometida e “substituída por um escorredor”.

Ledger tuitou cerca de uma hora depois que a exploração foi identificada para dizer que havia removido o código malicioso.

“A versão maliciosa do arquivo foi substituída pela versão original por volta das 2h35 CET”, disse Ledger. “Seu dispositivo Ledger e Ledger Live não foram comprometidos…. Forneceremos um relatório abrangente assim que estiver pronto.”

O software malicioso ficou ativo por 5 horas, embora a empresa tenha conseguido corrigir e corrigir o problema 40 minutos após descobri-lo, disse Ledger. Ledger também alternou as permissões para publicar em seu Github.

Sushiswap. e Revogar.Cash atualizaram suas bibliotecas com a versão fixa, enquanto Zapper anunciaram que desabilitaram o frontend comprometido.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://thedefiant.io/defi-users-urged-not-to-interact-with-web3-dapps-amid-major-exploit