El ataque a la biblioteca de conectores de Ledger puede estar afectando a todo el ecosistema de la Máquina Virtual Ethereum (EVM). de acuerdo a al equipo de Linea, un rollup de conocimiento cero de Consensys.
El hacker apuntó a la biblioteca de conectores Ledger, que fue diseñada para permitir la comunicación entre las carteras de hardware de Ledger y varias aplicaciones descentralizadas (DApps). El proveedor de billetera MetaMask también se vio afectado por el incidente de seguridad.
A todos los usuarios de web3,
Parece que esta vulnerabilidad está afectando a múltiples dapps en todo el ecosistema EVM. Es muy arriesgado interactuar con cualquier dapp hasta que el problema se resuelva adecuadamente.¡Manténgase a salvo ahí fuera! https://t.co/kFykLW4lWm
— Línea (@LineaBuild) 14 de diciembre de 2023
Según una publicación en X (Twitter), MetaMask implementó una actualización para solucionar el problema en su cartera MetaMask. “Asegúrese de tener activada la función Blockaid en MetaMask Extension antes de realizar cualquier transacción en MetaMask Portfolio”, la compañía prevenido en X.
Otros protocolos afectados incluyen Zapper, SushiSwap, Phantom, Balancer y Revoke.cash. La firma de seguridad blockchain CertiK le dijo a Cointelegraph que cualquier DApp que importe el CDN del libro mayor ejecutará automáticamente el código de drenaje, lo que solicitará a las víctimas que se conecten a través de cualquier billetera que admitan.
Ledger es una billetera de hardware popular utilizada por muchos en la comunidad criptográfica. Su biblioteca de conectores es un componente crítico que interactúa entre el hardware de Ledger y varias DApps. Esta biblioteca podría afectar a muchos usuarios y transacciones de EVM si se ve comprometida.
El ataque se inició después de que un ex empleado de Ledger fuera víctima de phishing y su cuenta NPMJS se viera comprometida. “El atacante publicó una versión maliciosa del Ledger Connect Kit (que afecta a las versiones 1.1.5, 1.1.6 y 1.1.7). El código malicioso utilizó un proyecto WalletConnect fraudulento para redirigir fondos a una billetera de piratas informáticos”, escribió la compañía en X.
Se publicó una solución casi 40 minutos después de que Ledger descubriera el problema. La compañía advierte a los usuarios que esperen 24 horas antes de volver a utilizar su kit Ledger Connect.
CRONOGRAMA FINAL Y ACTUALIZACIÓN PARA CLIENTES:
16:49 CET:
La versión original 1.1.8 del Ledger Connect Kit se está propagando ahora automáticamente. Recomendamos esperar 24 horas hasta volver a utilizar el kit Ledger Connect.
La investigación continúa, aquí está la cronología de lo que sabemos sobre…
– Libro mayor (@Ledger) 14 de diciembre de 2023
La plataforma de análisis Blockchain Lookonchain afirmó que el hacker había robado activos por valor de casi 484.000 dólares, pero el impacto de la violación de seguridad podría ser mayor, señaló Ledger.
Revista: 2 años después de la muerte de John McAfee, la viuda Janice está arruinada y necesita respuestas
Fuente Traducida desde cointelegraph.com