Diverse applicazioni basate su Ethereum, tra cui Zapper, Sushiswap, Phantom, Balancer e Revoke.cash, sono state compromesse giovedì scorso a causa di una violazione della sicurezza del Ledger . Ledger, il produttore di portafogli hardware per criptovalute con sede a Parigi, ha dichiarato di aver corretto il codice dannoso a partire dalle 13:35 UTC; l'azienda ha inoltre avvisato gli utenti di "Firmare chiaramente" le transazioni, un modo per assicurarsi di interagire direttamente con il sito Web dell'azienda e Software.
Non è ancora noto quante app decentralizzate (dapps) siano state interessate o quanti soldi siano andati persi. Rapporti aneddotici sui social media suggeriscono che l’exploit è diffuso. Blockaid, una società di sicurezza blockchain, ha affermato che oltre 150.000 dollari in criptovalute sono andati persi a causa di questo esclusivo "attacco alla catena di fornitura" sul Connect Kit di Ledger, che viene distribuito nell'ecosistema della finanza decentralizzata (DeFi).
Questo è un estratto dalla newsletter di The Node, una raccolta quotidiana delle notizie crittografiche più cruciali su CoinDesk e oltre. Puoi iscriverti per ricevere la newsletter completa qui .
"Non interagire con NESSUN dApp fino a nuovo avviso", ha scritto su X/Twitter Matthew Lilley, Chief Technology Officer SUSHI , ONE delle prime persone a riconoscere l'attacco. "Sembra che sia stato compromesso un connettore Web3 comunemente utilizzato, che consente l'iniezione di codice dannoso che colpisce numerose dApp."
Gli hack sono un evento comune nel settore delle criptovalute, soprattutto nel mondo a ruota libera della finanza decentralizzata (DeFi), dove il software finanziario viene spesso distribuito senza il livello appropriato di audit e test, nonché utilizzato da persone senza le conoscenze necessarie per svolgere un'adeguata due diligence. . Anche le entità centralizzate, ovvero le società, come Ledger, sono obiettivi comuni per gli attacchi.
Questi tipi di violazioni rappresentano una macchia per il settore, poiché colpiscono non solo persone e progetti reali, ma anche la reputazione delle criptovalute. Il pioniere di Internet ed esperto di sicurezza Steve Gibson tiene il passo con la litania degli hack crittografici nel popolare podcast "Security Now", è co-conduttore insieme alla leggenda della tecnologia Leo Laporte, e recentemente ha affermato che qualsiasi settore in cui esiste un conteggio dei più grandi gli hack dovrebbero essere trattati con estremo scetticismo.
Tuttavia, a volte c’è un lato positivo negli exploit crittografici. Questi eventi, per quanto cupi, possono anche essere momenti di leggerezza e un'opportunità per i professionisti esperti delle criptovalute di mostrare le proprie capacità e i vantaggi intrinseci della blockchain. La maggior parte delle transazioni crittografiche non può essere annullata, ma gli aggressori possono finire in un vicolo cieco cercando di trarre vantaggio dai loro guadagni illeciti .
Tether, il più grande emittente di stablecoin, ad esempio, ha annunciato di aver congelato l'indirizzo dell'esploratore poche ore dopo l'hack, il che parla della capacità degli investigatori on-chain dirintracciare e fare pressione sugli aggressori.
Allora è troppo presto per riderci sopra? Proprio la settimana scorsa, CoinDesk ha inserito il CEO di Ledger Pascal Gauthier e molti dei protocolli DeFi interessati nella sua lista annuale dei più influenti : forse possiamo ridere del tempismo infausto. Ma questo è ciò che accade agli occhi del pubblico riguardo allo sviluppo open source: anche i momenti peggiori possono contenere lezioni preziose per tutti . Sui social la violazione è diventata occasione per scherzare, condannare e imparare:
