Logo Crypto News Br
Pesquisar
Close this search box.

Ledger corrige o bug que colocava em risco vários aplicativos descentralizados

Divisor Crypto News Br
La empresa recomendó controlar que se esté usando la última versión de la librería. Composición por CriptoNoticias. Lemart/ stock.adobe.com; Amjith S / unsplash.com
O que você vai ler:

Na quinta-feira, 14 de dezembro, usuários, desenvolvedores e todos próximos a qualquer aplicativo descentralizado (dApp) receberam um sinal de alarme. Isso aconteceu porque a biblioteca Ledger Connect Kit, amplamente utilizada neste contexto, foi vítima de um ataque de segurança cibernética.

Depois de várias horas de preocupação, e mesmo após a confirmação oficial da violação de segurança por parte da Ledger, a calma parece ter chegado. A empresa, que também fabrica carteiras de hardware – que não corriam risco neste caso – comunicado que já substituiu a biblioteca maliciosa por uma versão autêntica, que “está se espalhando automaticamente”. Em qualquer caso, a Ledger recomenda não usar o Kit Ledger Connect por pelo menos 24 horas.

A raiz de todo o problema foi que um funcionário da Ledger sofreu um ataque de phishing através do qual vazou seu acesso à sua conta NPM (Node Package Manager). NPM é um sistema de gerenciamento de pacotes para Node.js, uma plataforma de desenvolvimento de aplicativos JavaScript. Uma conta nessa plataforma permite que os desenvolvedores publiquem, gerenciem e compartilhem seus pacotes de software com a comunidade.

Então, O hacker publicou uma versão maliciosa do Ledger Connect Kit nas versões 1.1.4, 1.1.5 e 1.1.6. Ele também usou uma versão corrompida do Wallet Connect para direcionar os fundos dos usuários que interagiram com o Ledger Connect Kit em dApps e DeFi para sua própria carteira.

Conforme explicado por fontes com expertise no assunto, e conforme relatado pela CriptoNoticias, a vulnerabilidade nas citadas versões do Ledger Connect Kit dava a possibilidade de introdução de código malicioso no front-end de um dApp. Em outras palavras, o invasor pode fazer com que os usuários interajam com uma interface alterada sem que eles percebam.

Ledger afirma ter corrigido a violação de segurança em menos de 40 minutos. Porém, A vulnerabilidade ficou ativa por um período próximo a 5 horascom uma janela de aproximadamente duas horas em que os fundos dos usuários poderiam ter sido roubados.

Nesse sentido, a empresa afirma estar em comunicação com os clientes cujos fundos possam ter sido afetados e “trabalhar de forma proativa” para ajudar essas pessoas. Além disso, Ledger informou que está “apresentando queixa e colaborando com as autoridades policiais na investigação para identificar o agressor”.

A empresa pediu aos desenvolvedores que verificassem se estão usando a versão mais recente do Ledger Connect Kit, v. 1.1.8. Da mesma forma, ainda existem medidas de segurança adicionais que devem ser tomadas para permanecer seguro. Neste sentido, o desenvolvedor Mudit Gupta, chefe de segurança cibernética do Polygon Labs, recomendou verificar o cache em busca do código alterado.

“Para ter certeza de que a biblioteca maliciosa não está armazenada em cache, acesse https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 e certifique-se de que a versão seja 1.1.8. Caso contrário, limpe seu cache. escreveu na rede social X (antigo Twitter).

Ao final de seu depoimento, Ledger agradeceu a colaboração de outras empresas, como a Chainalysis, que ajudou a identificar o suposta carteira do invasor e do Tether, que congelou os fundos do USDT naquele endereço. O envolvimento do Wallet Connect, que desativou rapidamente a versão corrompida do seu software utilizado pelo invasor, também é destacado no comunicado.



Fonte

Acompanhe o mercado hoje

bitcoin
bitcoin

Bitcoin (BTC)

Price
$ 65,150.00
ethereum
ethereum

Ethereum (ETH)

Price
$ 3,509.57
cardano

Cardano (ADA)

$ 0.786707
dogecoin

Dogecoin (DOGE)

$ 0.162453
polkadot

Polkadot (DOT)

$ 10.04
chainlink

Chainlink (LINK)

$ 20.58

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Controle Sua Privacidade

Nosso site usa cookies para melhorar a navegação. Ao continuar navegando neste site você concorda com os nossos termos abaixo:

Políticas de privacidadeTermos de uso