Perdite segnalate, utenti invitati a prestare attenzione
BlockAid, una società di sicurezza informatica specializzata nella sicurezza Web3, ha rivelato che sono state subite perdite sostanziali di circa 150.000 dollari a causa dell’integrazione del codice dannoso nei siti Web attivi. Tuttavia, Ledger ha assicurato agli utenti che finché si astengono dall’effettuare transazioni, i loro beni sono al sicuro.
Ido Ben-Natan, CEO di Ledger, ha sottolineato che l’exploit non può essere effettuato senza la previa conferma degli utenti, ma ha riconosciuto che molti siti Web sono stati colpiti e ha avvertito del potenziale impatto sugli utenti.
SushiSwap, una piattaforma di scambio decentralizzata, ha affrontato il problema sulla sua piattaforma e ha riconosciuto la compromissione del connettore di Ledger, che potrebbe consentire l’iniezione di codice dannoso in varie applicazioni decentralizzate (dApp).
Misure precauzionali di Revoke.cash e Ledger
Come misura di sicurezza, Revoke.cash, un servizio che consente agli utenti di recuperare le funzionalità di firma delle transazioni concesse alle app Web3, ha temporaneamente sospeso le sue operazioni front-end per impedire l’inganno degli utenti.
Ben-Natan ha specificamente messo in guardia contro le interazioni con Revoke.cash, data la sua vulnerabilità all’attacco. L’account ufficiale di Ledger ha confermato il potenziale vettore di attacco e ha affermato che il codice dannoso è stato eliminato.
La nuova versione del software Ledger è attualmente in fase di propagazione e si prevede che neutralizzerà completamente la minaccia una volta attivata, a seconda della memorizzazione nella cache delle dApp di terze parti.
Rimanere cauti e informati
Anche se il codice dannoso è emerso solo di recente e può comportare il furto di fondi solo se vengono intraprese ulteriori azioni, gli esperti raccomandano di prestare attenzione e di astenersi dall’utilizzare app web crittografiche. Anche WalletConnect, un’interfaccia ampiamente utilizzata per gli sviluppatori di dApp senza integrazione diretta con Ledger, ha lanciato un avviso agli utenti.
Philip Costigan, responsabile delle pubbliche relazioni presso Ledger, ha esortato gli utenti a evitare di interagire con qualsiasi dApp per il momento e ha assicurato loro aggiornamenti regolari man mano che la situazione si evolve.
In incidenti precedenti, come l’attacco alla piattaforma di vendita di token SushiSwap, gli utenti hanno perso circa 865 ETH (3 milioni di dollari all’epoca e 2 milioni di dollari attualmente). Questi attacchi prevedevano la manipolazione del DNS per reindirizzare utenti ignari a versioni contraffatte di siti Web di piattaforme autentiche, con il risultato che i fondi venivano reindirizzati agli aggressori.
Aggiornato il 14 dicembre 2023 alle 8:34 ET, 8:53 ET, 9:03 ET e 9:15 ET con informazioni aggiuntive e commenti da Ledger e BlockAid.