La biblioteca LedgerConnect fue comprometida por piratas informáticos que la reemplazaron con un contrato para robar activos. Los expertos recomiendan no conectarse a ninguna aplicación descentralizada debido a este incidente. También aclararon que SushiSwap, Revoke Cash y Zapper también se vieron afectados por este compromiso.
El CTO de SushiSwap publicó en su X (antes Twitter) que la biblioteca LedgerConnect se había visto comprometida, afectando a las aplicaciones descentralizadas (dApps).
“No interactúe con ninguna aplicación descentralizada hasta nuevo aviso. Parece que el conector Web3 ampliamente utilizado se ha visto comprometido, lo que permite la inyección de código malicioso que afecta a muchas dApps”, dice el informe.
confirmó el hack en una publicación en X. Informaron que estaban trabajando para solucionar el problema e instaron a no conectarse a las dApps.
Revoke Cash también informó La empresa ha desconectado el sitio mientras realiza una investigación.
Los analistas de Hacken también instaron a no interactuar con las dApps.
En un comentario a Incrypted, los expertos de Hacken explicaron:
“La biblioteca del kit Ledger Connect se ha visto comprometida. En consecuencia, todos los sitios web (dApp) que lo utilizan también se ven comprometidos. Se carga un código malicioso y comienza a funcionar según el principio de phishing. Si el usuario no interactúa con estos sitios, no corre ningún peligro. Pero no podemos decir con seguridad quién los usa además de SushiSwap, Zapper y RevokeCash. Por lo tanto, por su propia seguridad, debe esperar hasta que se solucione este problema. Es poco probable que lleve mucho tiempo”.
Representantes del equipo de la empresa analítica HAPI señalaron en una conversación con Incrypted que como resultado del compromiso, se reemplaza la ventana modal para conectar la billetera durante la autorización:
“Este es un conector Web3 popular y pone en riesgo muchos protocolos y billeteras. Es mejor no hacerle nada a nadie por ahora. No interactúes con ninguna dApp. Los usuarios de cualquier dApp y cualquier billetera que interactúe con ellos están en riesgo. No sólo Ledger Live" .
Actualización: Ledger anunció que había descubierto y eliminado una versión maliciosa del Ledger Connect Kit:
“Ahora se lanza una versión real para reemplazar el archivo malicioso. No interactúes con ninguna aplicación por ahora. Le mantendremos informado a medida que se desarrolle la situación. Su dispositivo Ledger y Ledger Live no se han visto comprometidos".
Actualización 2: El CEO de Tether, Paolo Ardoino, informó que la dirección del hacker ha sido congelada.
Incrypted seguirá supervisando la evolución de la situación. Actualizaremos el material cuando haya nuevos detalles disponibles.