È in corso un attacco su larga scala che potrebbe colpire tutte le applicazioni decentralizzate (dApp) che incorporano il kit di connessione di Ledger. Attualmente si raccomanda di NON visitare alcun sito web che offra la funzionalità di connessione del portafoglio Web3
DTD 15:18: Secondo l’azienda, l’aggiornamento di Ledger è in fase di distribuzione. Ledger ha inoltre dichiarato che verrà pubblicato un “rapporto completo” non appena sarà pronto.
AGGIORNAMENTO 15:06: Banteg ha pubblicato un messaggio in cui afferma che Ledger ha implementato un aggiornamento e che il codice maligno è stato eliminato. Tuttavia, si raccomanda ancora di non interagire con le applicazioni che consentono la connessione di Wallet, poiché la propagazione potrebbe richiedere del tempo.
AGGIORNAMENTO 15:03: Secondo Igor Igamberdiev, il codice maligno è stato implementato questa mattina intorno alle 8.44, quindi è probabile (ma non certo) che i portafogli potenzialmente a rischio siano quelli che hanno interagito con il Connect Kit di Ledger dopo tale ora.
AGGIORNAMENTO 14:57: secondo l’investigatore della catena ZachXBT, più di 610.000 dollari sono già stati rubati tramite la falla. Secondo i dati di Arkham Intelligence, si ritiene che l’indirizzo citato da ZachXBT abbia inviato fondi ad Angel Drainer, il cui portafoglio ammonta a più di 1 milione di dollari.
Un grande attacco è in corso
Questo potrebbe essere uno dei più grandi attacchi mai avvenuti nell’ecosistema Web3: sembra che tutte le applicazioni decentralizzate (dApp) che incorporano lo strumento di connessione Ledger siano infette e che il loro codice sia stato sostituito da una funzione di drenaggio.
La falla è stata segnalata per la prima volta dal protocollo Sushi, che ha messo offline il suo sito per motivi di sicurezza, e che ci informa che il problema ha avuto origine con Ledger:
Avviso urgente di sicurezza
Abbiamo identificato un problema critico: il connettore del libro mastro è stato compromesso, consentendo potenzialmente l’iniezione di codice dannoso in varie dApp.
Se avete aperto la pagina Sushi e vedete un pop-up inaspettato “Connect Wallet”, NON… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) December 14, 2023
Matthew Lilley, CTO di Sushi, ha dichiarato che la falla è stata effettivamente originata da Ledger, e più precisamente dal suo Connect Kit, responsabile della gestione dell’interazione con le applicazioni decentralizzate. L’elenco delle applicazioni potenzialmente interessate è disponibile qui. Queste sono tutte le applicazioni che integrano questa funzionalità di Ledger
QUALSIASI dApp che fa uso di LedgerHQ/connect-kit è vulnerabile. Non utilizzate NESSUNA dApp fino a nuovo avviso. Non si tratta di un singolo attacco isolato, ma di un attacco su larga scala a più dApp. https://t.co/a3brXNQSx9
– Sono un software (@MatthewLilley) Dicembre 14, 2023
Questo attacco è tanto più subdolo in quanto ha infettato anche siti che consentono la revoca delle autorizzazioni concesse agli smart contract, come Revoke.Cash, che ha anche messo offline il proprio sito per mitigare le potenziali perdite dei propri utenti. Revoke.Cash raccomanda di NON utilizzare alcun sito che si colleghi a un portafoglio Web3.
Per vostra informazione, ecco un’anteprima della finestra contenente il codice maligno:
Un esempio del codice utilizzato (la finestra appare sopra la connessione effettiva): https://t.co/7J34ArOTLR
– OAK (@oak_it) December 14, 2023
Ledger ha rilasciato una dichiarazione su X senza fornire ulteriori informazioni:
Abbiamo identificato e rimosso una versione dannosa del Ledger Connect Kit.
È in corso di distribuzione una versione autentica per sostituire il file dannoso. Per il momento non interagite con nessuna dApp. Vi terremo informati sull’evolversi della situazione.
Il vostro dispositivo Ledger e…
– Ledger (@Ledger) Dicembre 14, 2023
