Kerugian Dilaporkan, Pengguna Diimbau Berhati-hati
BlockAid, sebuah perusahaan keamanan siber yang berspesialisasi dalam keamanan Web3, mengungkapkan bahwa kerugian besar sekitar $150.000 telah terjadi karena integrasi kode berbahaya ke situs web aktif. Namun, Ledger meyakinkan pengguna bahwa selama mereka menahan diri untuk tidak melakukan transaksi, aset mereka aman.
Ido Ben-Natan, CEO Ledger, menekankan bahwa eksploitasi tidak dapat dilakukan tanpa konfirmasi pengguna sebelumnya, namun mengakui bahwa banyak situs web yang terpengaruh dan memperingatkan potensi dampaknya terhadap pengguna.
SushiSwap, platform pertukaran terdesentralisasi, mengatasi masalah ini pada platformnya dan mengakui adanya kompromi pada konektor Ledger, yang dapat memungkinkan penyuntikan kode berbahaya ke berbagai aplikasi terdesentralisasi (dApps).
Tindakan Pencegahan dengan Revoke.cash dan Ledger
Sebagai langkah keamanan, Revoke.cash, sebuah layanan yang memungkinkan pengguna mendapatkan kembali kemampuan penandatanganan transaksi yang diberikan kepada aplikasi Web3, untuk sementara menangguhkan operasi front-endnya untuk mencegah penipuan pengguna.
Ben-Natan secara khusus memperingatkan terhadap interaksi dengan Revoke.cash, mengingat kerentanannya terhadap serangan tersebut. Akun resmi Ledger mengonfirmasi potensi vektor serangan dan menyatakan bahwa kode berbahaya tersebut telah dihilangkan.
Versi baru perangkat lunak Ledger saat ini sedang disebarkan dan diharapkan dapat menetralisir ancaman sepenuhnya setelah diaktifkan, bergantung pada cache dApps pihak ketiga.
Tetap Waspada dan Terinformasi
Meskipun kode berbahaya ini baru saja muncul dan dapat mengakibatkan pencurian dana hanya jika tindakan lebih lanjut diambil, para ahli menyarankan untuk berhati-hati dan tidak menggunakan aplikasi web kripto. WalletConnect, antarmuka yang banyak digunakan untuk pengembang dApp tanpa integrasi langsung dengan Ledger, juga mengeluarkan peringatan kepada pengguna.
Philip Costigan, Kepala Hubungan Masyarakat di Ledger, mendesak pengguna untuk menghindari interaksi dengan dApps apa pun untuk saat ini dan meyakinkan mereka untuk melakukan pembaruan rutin seiring dengan perkembangan situasi.
Dalam insiden sebelumnya, seperti serangan platform penjualan token SushiSwap, pengguna kehilangan sekitar 865 ETH ($3 juta pada saat itu dan $2 juta saat ini). Serangan ini melibatkan manipulasi DNS untuk mengarahkan pengguna yang tidak menaruh curiga ke versi palsu situs web platform asli, sehingga dana dialihkan ke penyerang.
Diperbarui pada 14 Desember 2023, pukul 08.34 ET, 08.53 ET, 09.03 ET, dan 09.15 ET dengan informasi tambahan dan komentar dari Ledger dan BlockAid.