Ledger confirma ataque com código malicioso que afeta todas as dApps

A plataforma Ledger encontra-se a alertar os utilizadores para não usarem dApps web3, tendo em conta a recente descoberta de uma vulnerabilidade, que pode levar a que as carteiras dos utilizadores sejam comprometidas.

Em causa encontra-se o javascript “Ledger dApp Connect Kit”, usado como forma de integração em plataformas dApps, que permite a integração das mesmas com as carteiras físicas da Ledger.

No entanto, foi hoje descoberto que o código desta distribuição terá sido comprometido, tendo integrado uma secção focada em roubar os fundos das carteiras dos utilizadores. Até ao momento estima-se que o ataque tenha levado ao roubo de 600.000 dólares em criptomoedas e NFTs.

A versão 1.1.8 foi rapidamente lançada durante o dia de hoje para corrigir este problema, mas ainda pode demorar várias horas a propagar-se a todos os projetos que fazem uso do código. Além disso, pode não chegar para plataformas que não usam a versão mais recente automaticamente.

O código malicioso foi descoberto entre as versões 1.1.5 e 1.1.7, e terá sido injetado por uma conta NPMJS comprometida, que terá enviado os códigos maliciosos para as versões silenciosamente. Os utilizadores são aconselhados a evitarem todas as interações com plataformas dApps até que se garanta que as mesmas estão atualizadas para a versão mais recente.

A entidade afirma que o script terá estado disponível apenas durante 5 horas, e que a versão maliciosa foi removida 40 minutos depois do ataque ter sido identificado. A investigação do incidente, no entanto, ainda se encontra a decorrer.

Para os utilizadores finais, estes são aconselhados a evitarem todas as dApps durante os próximos tempos, e a ficarem atentos a transações suspeitas das suas carteiras.