Ledger tem biblioteca hackeada e código malicioso inserido

A Ledger, maior carteira fria (hardwallet) teve ua biblioteca de códigos hackeada nesta quinta-feira (14). Na realidade, ao que tudo indica o criminoso conseguiu inserir atualizações na biblioteca da “ConnectKit”, a parte de integração da carteira com aplicativos descentralizados (dApps) na Web3.

Desse modo, o criminoso parece ter inserido um código “drainer”, ou seja, que drena o saldo de criptomoedas dos usuários que tentam se conectar com qualquer um dos dApps suportados pela Ledger. Portanto, especialistas recomendam não interagir com aplicativos externos à Ledger neste momento.

Portanto, o problema parece ser na ferramenta de conexão da Ledger, afetando qualquer tipo de interação com aplicativos descentralizados por meio da carteira fria. O problema também foi relatado no Issue #29 do repositório GitHub do LedgerHQ connect-kit. Desse modo, destaca sobre o uso de uma versão maliciosa do pacote npm @ledgerhq/connect-kit, especificamente a versão 1.1.7.

O usuário 0xViva, que abriu a issue, destaca que essa versão contém código fonte suspeito. O código desta versão específica é carregado/usado a partir de um CDN (Content Delivery Network), sugerindo potencial risco de segurança.

Nesse sentido, na versão 1.1.7 implementada pelo agente malicioso, encontra-se o comando “MinimalDrainValue=”. Esse comando estabelece um valor mínimo para drenar a carteira.

Atualização da matéria às 10h38

A Ledger publicou em seu perfil oficial do X (Antigo Twitter) que já identificou o problema, e que estão atualizando para uma versão sem o código malicioso. Além disso, a equipe reforça que não recomenda interagir com nenhum dApp no momento.