Exploração do Ledger põe em perigo o DeFi; SUSHI diz ‘Não interaja com NENHUM dApps’
A exploração supostamente solicita que os usuários conectem suas carteiras por meio de um pop-up, acionando um drenador de tokens.
O diretor de Tecnologia da Sushi alertou sobre uma exploração em todo o setor relacionada ao Connect Kit da Ledger, já que o protocolo de Finanças descentralizadas (DeFi) foi atingido por uma exploração de front-end.
A Ledger, Maker de carteiras de hardware, fornece o software Connect Kit que protocolos Finanças descentralizados como Lido, Metamask e Coinbase, junto com SUSHI, usam para conectar aplicativos descentralizados (dapps) aos seus produtos. Ao comprometer o front-end de um site ou aplicativo, os hackers podem alterar as funções que os usuários veem e induzi-los a enviar inadvertidamente dinheiro aos exploradores, em vez de às suas próprias carteiras.
“Não interaja com NENHUM dApps até novo aviso”, escreveu o CTO do SUSHI, Matthew Lilley, no X. “Parece que um conector web3 comumente usado foi comprometido , o que permite a injeção de código malicioso que afeta vários dApps.”
A exploração supostamente solicita que os usuários conectem suas carteiras por meio de um pop-up, que então aciona o drenador de tokens. Problemas também foram relatados em outros sites DeFi, incluindo Zapper e RevokeCash.
Cinco horas após o hack, Ledger publicou uma autópsia no X. Ele confirmou que um ex-funcionário da Ledger foi vítima de um ataque de phishing, que permitiu que um hacker inserisse código malicioso no Connect Kit da Ledger. Ele acrescenta que o código foi removido e o emissor da moeda estável Tether congelou a carteira do hacker.
“Identificamos um problema crítico: o conector do razão foi comprometido, potencialmente permitindo a injeção de código malicioso que afeta vários dApps”, escreveu SUSHI em um comunicado . "Se você estiver com a página do SUSHI aberta e vir um pop-up inesperado 'Conectar carteira', NÃO interaja nem conecte sua carteira."
Um usuário X apontou que a biblioteca do Ledger foi comprometida e substituída por um drenador de tokens.
A Ledger disse que “identificou e removeu uma versão maliciosa do Ledger Connect Kit”.
“Uma versão genuína está sendo lançada para substituir o arquivo malicioso agora”, disse Ledger. "Não interaja com nenhum dApps no momento. KEEP você informado à medida que a situação evoluir. Seu dispositivo Ledger e o Ledger Live não foram comprometidos."
ATUALIZAÇÃO (14 de dezembro, 13h23 UTC): Adiciona contexto por toda parte.
ATUALIZAÇÃO (14 de dezembro, 14h49 UTC): Adiciona extrato do Ledger.
ATUALIZAÇÃO (14 de dezembro, 15:00 UTC): Reescreve o título; muda a foto principal.
ATUALIZAÇÃO (14 de dezembro, 15h58 UTC): Adiciona extrato do Ledger.