A fabricante de carteiras Ledger anunciou planos de reparação após um ataque à biblioteca de aplicações descentralizadas (dApps) causar perdas entre os usuários. De acordo com dados da própria fabricante, a recente falha causou roubos de mais de US$ 600 mil em criptomoedas, cerca de R$ 3 milhões.
Por isso, a companhia revelou planos para desativar a assinatura cega para aplicativos descentralizados (DApps) da Ethereum Virtual Machine (EVM) até junho de 2024. Esse foi um dos mecanismos que permitiu a falha e, consequentemente, o roubo de criptomoedas.
Nessa falha, alguém conseguiu adicionar um programa que drenava carteiras a uma biblioteca utilizada por vários dApps para conectar-se a dispositivos Ledger. Os usuários que se conectaram por meio dessa biblioteca sofreram perdas graças ao programa malicioso.
Ledger anuncia plano para compensar vítimas
Em um tuíte, a Ledger confirmou o roubo de aproximadamente US$ 600.000 em criptoativos durante a exploração recente. A empresa garantiu que vai reembolsar todas as vítimas que perderam seus fundos. Além disso, declarou que descontinuaria a prática de assinatura cega com dispositivos Ledger até junho de 2024.
A assinatura cega envolve a exibição de dados brutos de assinatura de contrato inteligente. Esses dados são legíveis por computadores, mas não por seres humanos. Por isso, eles podem causar problemas em caso de ativação automática do contrato.
A decisão da empresa de eliminar gradualmente a assinatura cega é um passo em direção ao estabelecimento de um novo padrão para melhorar a proteção do usuário e promover uma assinatura clara (Clear Sign) em aplicativos descentralizados. Nesse sentido, a fabricante instou os desenvolvedores de DApp a apoiarem a assinatura clara e enfatizou sua dedicação em prevenir tais incidentes no futuro, garantindo a segurança do ecossistema.
De acordo com Ledger, os ativos roubados foram retirados de usuários que assinavam cegamente suas transações em DApps.
- Leia também: Worldcoin descontinua verificação por Orb no Brasil
Falhas causam roubos de fundos
Na recente exploração da semana passada, os desenvolvedores do X (antigo Twitter) identificaram uma versão maliciosa do Ledger Connect Kit, uma biblioteca que facilita a conexão entre dispositivos Ledger e os DApps. O invasor injetou um software malicioso no pacote NPM do Ledger Connect Kit, permitindo-lhes drenar fundos de usuários.
A MetaMask, um desenvolvedor de carteira de software, alertou os usuários a “pararem de usar dApps” após a notícia do ataque. Em uma declaração subsequente, a Ledger confirmou o ataque. De acordo com a empresa, a ação ocorreu porque um ex-funcionário foi vítima de um ataque de phishing.
O invasor acessou a conta NPMJS do ex-funcionário, permitindo-lhe enviar uma versão maliciosa do Ledger Connect. Este programa comprometido redirecionou os fundos do usuário de qualquer carteira conectada a um dApp para a carteira do hacker.
A Ledger respondeu rapidamente, implantando uma correção 40 minutos após o alerta de suas equipes de segurança. Enquanto isso, uma nova versão do Connect Kit (1.1.8) foi lançada. A exploração não comprometeu os dispositivos Ledger e o aplicativo Ledger Live.
É importante notar que Ledger enfrentou críticas sobre sua segurança. Em 2020, um banco de dados de e-mail de clientes da Ledger foi hackeado, expondo mais de um milhão de e-mails de usuários. No início deste ano, o serviço voluntário Recover também recebeu críticas dos usuários, com alguns chamando-o de “backdoor” que poderia roubar suas senhas.
- Leia também: EUA finalizam confisco de Bitcoins do Silk Road
Posts relacionados
Lavagem de dinheiro com criptomoedas recuou 30% em 2023, diz Chainalysis
O relatório anual sobre lavagem de dinheiro com criptomoedas divulgado pela Chainalysis revelou uma significativa queda na atividade ilícita no último ano. De acordo com a empre...
Stablecoin desaba após relatos de ataque de US$ 6,5 milhões à protocolo
A stablecoin MIM, emitida pela plataforma descentralizada Abracadabra.money, sofreu uma queda repentina para US$ 0,76 nesta terça-feira (30) após relatos de que um ataque hacker...
Carteira sofre ataque e perde R$ 125 milhões em USDT
Uma carteira sofreu um ataque hacker, de acordo com o detetive especializado em blockchain ZachXBT. Esse ataque causou uma perda significativa de US$ 27 milhões, ou cerca de R$ ...
KyberSwap oferece recompensa de US$ 5 milhões para hacker devolver fundos
A Organização Autônoma Descentralizada (DAO) que administra a exchange descentralizada KyberSwap entrou em contato com o invasor que roubou US$ 50 milhões da DEX na quarta-fei...
Plataforma perde R$ 125 milhões em Bitcoin e Ethereum
A Fixed Float, uma plataforma que atua como mixer de criptomoedas e exchange descentralizada (DEX), sofreu um grande golpe no final de semana. De acordo com informações, um ha...
Poloniex confirma identidade do hacker e oferece recompensa de US$ 10 milhões
A exchange de criptomoedas Poloniex, que so...
Aliança: 40 países firmam acordo para não pagar Bitcoin como resgate em ataques hacker
Um importante marco na luta contra os ataques de ransomware foi alcançado com o compromisso de cerca de 40 países, liderados pelos Estados Unidos, de não pagar resgates em Bitco...
Carnaval: Confira dicas para evitar golpes digitais
Com a proximidade do Carnaval, uma das épocas mais aguardadas do ano, os foliões se preparam para desfrutar da festa. No entanto, além da diversão, é necessário estar atento aos...
Bitfinex sofre ‘pequeno’ ataque e diz que notificará afetados
A exchange de criptomoedas Bitfinex informou no último final de semana que sofreu um “pequeno incidente de segurança da informação” que expôs dados dos usuários da p...