Comprometimento de Aplicativos Descentralizados
Conectados ao Ledger Desencadeia Alerta de Segurança
No tumultuado cenário das finanças descentralizadas (DeFi), diversos aplicativos descentralizados (DApps) que fazem uso da biblioteca de conectores do Ledger, renomada empresa de carteiras de hardware, foram comprometidos.
Imagem By IA
Entre os afetados, encontram-se plataformas proeminentes como
Zapper, SushiSwap, Phantom, Balancer e Revoke.cash. O incidente ocorreu em 14
de dezembro, quando o front-end desses aplicativos foi invadido, gerando
preocupações sobre a segurança dos ativos dos usuários.
A rápida resposta da Ledger veio quase três horas após a
descoberta da violação de segurança. A empresa afirmou que a versão maliciosa
do arquivo foi prontamente substituída pela versão original por volta das 13h35
UTC. O diretor técnico do SushiSwap, Matthew Lilley, foi um dos primeiros a
relatar o problema, identificando a comprometimento de um conector Web3
amplamente utilizado, permitindo a injeção de código malicioso em vários DApps.
O alerta da Ledger aos usuários destaca a importância de
verificar constantemente a autenticidade dos sinais exibidos nos dispositivos
Ledger, orientando que, em caso de discrepância entre a tela do dispositivo e a
do computador/telefone, as transações devem ser interrompidas imediatamente.
Matthew Lilley culpou a Ledger pela vulnerabilidade contínua, sugerindo que a
rede de distribuição de conteúdo da empresa estava comprometida, com o
JavaScript sendo carregado a partir de uma fonte não confiável.
A biblioteca do conector Ledger é fundamental para vários
DApps, e o incidente levanta preocupações sobre a segurança geral do
ecossistema DeFi. Um drenador de carteira foi inserido na biblioteca, tornando
a drenagem de ativos mais difícil de ser detectada pelo usuário comum. No
entanto, alertas provenientes de carteiras de navegador como MetaMask podem
indicar possíveis riscos de acesso não autorizado.
Hudson Jameson, vice-presidente da Polygon Labs, enfatizou
que, mesmo após a correção do código pela Ledger, os projetos dependentes da
biblioteca precisarão ser atualizados para garantir a segurança ao utilizar
DApps baseados nas bibliotecas Web3 da Ledger. O cofundador e CEO da Blockaid,
Ido Ben-Natan, aconselhou os usuários a evitarem DApps que utilizem o conector
Ledger, especialmente o afetado Revoke.cash, onde centenas de milhares de
dólares já foram impactados nas últimas horas.
A Ledger, por sua vez, reconheceu a vulnerabilidade em seu
código e informou que uma versão maliciosa do Ledger Connect Kit foi removida,
sendo substituída por uma versão legítima para garantir a segurança dos
usuários.