Ledger ha recentemente individuato e risolto un problema di vulnerabilità nella sua libreria Ledger Connect Kit: si presume una perdita di circa 600 mila dollari.
Ledger ha dichiarato, tramite un post su X, di aver individuato, rimosso e sostituito una versione malevola della libreria Ledger Connect Kit. Inoltre, ha invitato gli utenti a evitare temporaneamente l’interazione con qualsiasi dApp. Nonostante ciò, la società ha confermato che né i dispositivi Ledger né l’applicazione Ledger Live sono stati compromessi dalla vulnerabilità scoperta.
Come spiegato in un tweet da Hudson Jameson, i dispositivi Ledger rimangono sicuri: “L’hardware wallet Ledger non sarà “infettato” da questo virus. Può essere affetto chi interagisce con un’applicazione su un sito web che utilizza il codice malevolo per creare pop-up o opzioni fittizie per gestire il proprio Ledger nell’applicazione (così possono rubare le criptovalute)“.
La vulnerabilità in questione intacca gli utenti che hanno interagito con dApp e applicazioni Web3 nelle ultime 3 ore. Ledger ha riassunto il susseguirsi degli eventi:
- Stamattina, un ex dipendente di Ledger è stato vittima di un attacco di phishing che ha ottenuto l’accesso al suo account NPMJS.
- L’attaccante ha pubblicato una versione malevola del Ledger Connect Kit (affecting versions 1.1.5, 1.1.6, and 1.1.7). Il codice malevolo utilizzava un progetto WalletConnect truffaldino per dirottare fondi verso un portafoglio hacker.
- I team di sicurezza di Ledger sono stati avvisati e una correzione è stata implementata entro 40 minuti dal momento in cui Ledger è venuta a conoscenza della vulnerabilità. Il file malevolo è rimasto attivo per circa 5 ore, ma crediamo che il periodo in cui i fondi sono stati prelevati sia stato limitato a meno di due ore.
- La versione genuina e verificata di Ledger Connect Kit, la 1.1.8, sta ora diffondendosi ed è sicura da utilizzare.
- Ledger, insieme a Wallet Connect e ai nostri partner, ha segnalato l’indirizzo del wallet dell’attore malevolo. L’indirizzo è ora visibile su Chainalysis. Tether ha congelato gli USDT dell’attaccante.
Una stima delle perdite
ZachXBT, investigatore di transazioni on-chain, è stato uno tra i primi a scoprire la vulnerabilità, segnalando l’avvenimento di un tentativo di furto di criptovalute che avrebbe potenzialmente raggiunto un valore di circa 610.000 dollari.
