Costuma-se dizer que uma única faísca pode iniciar um incêndio florestal. Essa analogia também se aplica ao mundo digital, onde um único link de phishing desencadeou o caos na paisagem das criptomoedas, causando pânico e incerteza generalizados. O culpado? Um ex-funcionário de um fabricante de carteiras de criptomoedas, Ledger, que caiu em um golpe de phishing.
Desvendando o Ataque Cibernético
O golpe de phishing começou quando o nome e o endereço de e-mail do ex-funcionário da Ledger apareceram no código comprometido. Isso levou a especulações iniciais de que o desenvolvedor era responsável pela exploração. No entanto, a Ledger esclareceu que o ataque foi iniciado porque o ex-funcionário caiu em um golpe de phishing.
Ao obter acesso à conta NPMJS do ex-funcionário, um gerenciador de pacotes para a linguagem de programação JavaScript, o atacante estava em posição de causar danos significativos. Os desenvolvedores utilizam esses pacotes ou bibliotecas para construir projetos, incluindo aplicativos descentralizados (dApps), sem precisar codificar tudo do zero.
De Acesso à Exploração
Uma vez que o atacante teve acesso ao NPMJS, eles enviaram uma versão maliciosa do Ledger Connect Kit. Isso significava que qualquer projeto que utilizasse o Connect Kit poderia conter código prejudicial capaz de redirecionar os fundos dos usuários para a carteira de um hacker.
As versões do Connect Kit afetadas foram 1.1.5, 1.1.6 e 1.1.7, todas as quais foram removidas da página da Ledger no NPM. O arquivo malicioso ficou ativo por cerca de cinco horas, mas a Ledger acredita que o período durante o qual os fundos foram drenados foi de menos de duas horas.
Consequências e Recuperação
Após o incidente, a Ledger lançou uma nova versão do Connect Kit (1.1.8) e afirmou que todas as carteiras que o utilizavam seriam atualizadas automaticamente. No entanto, eles aconselharam os usuários a esperar 24 horas antes de tentar se conectar a um dApp.
Ilkka Turunen, CTO de campo da empresa de cibersegurança Sonatype, destacou a escala potencial dos danos, apontando para o grande número de repositórios no GitHub que dependem do connect-kit-loader. Este incidente sublinha a importância de os desenvolvedores exercerem uma higiene adequada ao utilizar esses pacotes.
O evento causou considerável ansiedade na indústria. Aftab Hossain, investidor e consultor, expressou suas preocupações no X (anteriormente Twitter), afirmando que o ecossistema poderia ser seriamente comprometido se um desenvolvedor clicar em um link de phishing que pudesse colocar em risco quase todos os principais aplicativos de frontend.
Enquanto isso, a Tether, emissor de uma stablecoin, congelou os fundos vinculados à carteira usada pelo explorador, que havia drenado $484.000 de usuários de DeFi. A carteira, vinculada a um grupo de phishing conhecido como Angel Drainer, esteve envolvida em vários outros hacks de DeFi.
Ao navegarmos pelo complexo mundo das criptomoedas, ferramentas como cryptoview.io podem nos ajudar a nos manter informados e seguros. Este incidente serve como um lembrete vívido dos riscos potenciais no cenário das criptomoedas e da importância da vigilância e segurança.
Mantenha-se seguro, informado e protegido com cryptoview.io.
