Hoje cedo, o fabricante de carteiras de hardware Ledger confirmou que sua biblioteca Connector foi comprometida depois que os invasores substituíram uma versão genuína por um arquivo malicioso.
Após o incidente, vários aplicativos descentralizados (dApps) enfrentaram possíveis explorações, com o invasor conseguindo desviar mais de US$ 500.000 de várias carteiras.
Em uma extensa postagem na plataforma de mídia social X (antigo Twitter), a Ledger explicou que um ex-funcionário foi vítima de phishing, dando aos hackers acesso à conta NPMJS desse ex-funcionário, um registro de software de propriedade do GitHub.
Posteriormente, os hackers lançaram versões alteradas do Ledger Connect Kit, que continham código malicioso. Este código foi empregado em um WalletConnect enganoso que redireciona fundos para uma carteira controlada pelo hacker.
As versões maliciosas enganam os usuários exibindo prompts falsos na conexão com o frontend do dApp, solicitando a aprovação inadvertida de transações falsas. Clicar nesses prompts resulta na assinatura involuntária de uma transação que pode esgotar a carteira do usuário.
No entanto, a violação de segurança não afeta diretamente a carteira Ledger nem compromete as frases iniciais. O risco só surge quando os usuários conectam suas carteiras a um dApp.
A Ledger rapidamente resolveu o problema, substituindo o malicioso Ledger Connect Kit por uma versão autêntica. O fabricante da carteira de hardware confirmou a correção e prometeu um relatório abrangente a ser lançado em breve.
A empresa afirmou:
“As equipes de tecnologia e segurança da Ledger foram alertadas e uma correção foi implantada 40 minutos após a Ledger tomar conhecimento. O arquivo malicioso permaneceu ativo por cerca de 5 horas, no entanto, acreditamos que a janela em que os fundos foram drenados foi limitada a um período inferior a duas horas.”
Além disso, os usuários foram lembrados de Clear Sign em suas transações, garantindo a coerência entre as informações exibidas na tela do computador ou telefone e as do dispositivo Ledger. Os usuários também foram aconselhados a evitar usar a biblioteca maliciosa armazenada em cache e limpar o cache se ela já estiver sendo utilizada.
Em uma carta, o CEO da Ledger, Pascal Gauthier, admitiu que as práticas de segurança de sua empresa falharam neste “infeliz incidente isolado”. Ele delineou planos para implementar “controles de segurança mais fortes”, ao mesmo tempo em que apelou à adoção em toda a indústria de padrões de “assinatura clara” mais seguros que poderiam ter potencialmente evitado transações não autorizadas.
Apesar da correção e das preocupações resultantes que o comprometimento gerou, o detetive da rede ZachXBT relatou que US$ 610.000 foram desviados de várias carteiras.
A carteira do invasor também foi marcada no Etherscan como “Ledger Exploiter”, com um saldo superior a US$ 330.000 no momento desta publicação, de acordo com dados do DeBank.
Paolo Ardoino, CEO da Tether, revelou que o emissor da stablecoin congelou a carteira do explorador imediatamente:
“O Tether congelou o endereço do explorador do Ledger”, disse Ardoino.
O congelamento significa que a carteira não pode mais enviar USDT para outros endereços. No entanto, pode continuar a fazer outras transações.
Conforme declarado, a violação de segurança não afeta diretamente a carteira Ledger nem compromete as frases iniciais. Isso significa que os usuários do Ledger podem continuar a usar suas carteiras de hardware. No entanto, são aconselhados a evitar interagir com aplicações descentralizadas até segunda ordem.