A fabricante de carteiras Ledger anunciou planos de reparação após um ataque à biblioteca de aplicações descentralizadas (dApps) causar perdas entre os usuários. De acordo com dados da própria fabricante, a recente falha causou roubos de mais de US$ 600 mil em criptomoedas, cerca de R$ 3 milhões.
Por isso, a companhia revelou planos para desativar a assinatura cega para aplicativos descentralizados (DApps) da Ethereum Virtual Machine (EVM) até junho de 2024. Esse foi um dos mecanismos que permitiu a falha e, consequentemente, o roubo de criptomoedas.
Nessa falha, alguém conseguiu adicionar um programa que drenava carteiras a uma biblioteca utilizada por vários dApps para conectar-se a dispositivos Ledger. Os usuários que se conectaram por meio dessa biblioteca sofreram perdas graças ao programa malicioso.
Ledger anuncia plano para compensar vítimas
Em um tuíte, a Ledger confirmou o roubo de aproximadamente US$ 600.000 em criptoativos durante a exploração recente. A empresa garantiu que vai reembolsar todas as vítimas que perderam seus fundos. Além disso, declarou que descontinuaria a prática de assinatura cega com dispositivos Ledger até junho de 2024.
A assinatura cega envolve a exibição de dados brutos de assinatura de contrato inteligente. Esses dados são legíveis por computadores, mas não por seres humanos. Por isso, eles podem causar problemas em caso de ativação automática do contrato.
A decisão da empresa de eliminar gradualmente a assinatura cega é um passo em direção ao estabelecimento de um novo padrão para melhorar a proteção do usuário e promover uma assinatura clara (Clear Sign) em aplicativos descentralizados. Nesse sentido, a fabricante instou os desenvolvedores de DApp a apoiarem a assinatura clara e enfatizou sua dedicação em prevenir tais incidentes no futuro, garantindo a segurança do ecossistema.
De acordo com Ledger, os ativos roubados foram retirados de usuários que assinavam cegamente suas transações em DApps.
- Leia também: Worldcoin descontinua verificação por Orb no Brasil
Falhas causam roubos de fundos
Na recente exploração da semana passada, os desenvolvedores do X (antigo Twitter) identificaram uma versão maliciosa do Ledger Connect Kit, uma biblioteca que facilita a conexão entre dispositivos Ledger e os DApps. O invasor injetou um software malicioso no pacote NPM do Ledger Connect Kit, permitindo-lhes drenar fundos de usuários.
A MetaMask, um desenvolvedor de carteira de software, alertou os usuários a “pararem de usar dApps” após a notícia do ataque. Em uma declaração subsequente, a Ledger confirmou o ataque. De acordo com a empresa, a ação ocorreu porque um ex-funcionário foi vítima de um ataque de phishing.
O invasor acessou a conta NPMJS do ex-funcionário, permitindo-lhe enviar uma versão maliciosa do Ledger Connect. Este programa comprometido redirecionou os fundos do usuário de qualquer carteira conectada a um dApp para a carteira do hacker.
A Ledger respondeu rapidamente, implantando uma correção 40 minutos após o alerta de suas equipes de segurança. Enquanto isso, uma nova versão do Connect Kit (1.1.8) foi lançada. A exploração não comprometeu os dispositivos Ledger e o aplicativo Ledger Live.
É importante notar que Ledger enfrentou críticas sobre sua segurança. Em 2020, um banco de dados de e-mail de clientes da Ledger foi hackeado, expondo mais de um milhão de e-mails de usuários. No início deste ano, o serviço voluntário Recover também recebeu críticas dos usuários, com alguns chamando-o de “backdoor” que poderia roubar suas senhas.
- Leia também: EUA finalizam confisco de Bitcoins do Silk Road