Il CTO di Sushi, Matthew Lilley, avverte di un attacco front-end che coinvolge un diffuso connettore Web3: il Ledger Connect Kit, segnalando i rischi nelle interazioni con le dApps.
- Matthew Lilley, CTO di Sushi, informa di un potenziale attacco front-end che riguarda un comune connettore Web3: il Ledger Connect Kit.
- L’attacco modifica l’interfaccia utente di siti web e applicazioni, permettendo ai cybercriminali di dirottare fondi.
- Il problema interessa molti siti DeFi, inclusi Zapper e RevokeCash.
Attacco alla Libreria Ledger e al suo Connect Kit
Matthew Lilley, CTO del protocollo DeFi Sushi, ha recentemente evidenziato un attacco front-end che sembra colpire un connettore Web3 spesso usato nel settore: il Connect Kit di Ledger. In un messaggio urgente su X, consiglia di non interagire con le dApps fino a nuovo avviso. Questo avvertimento segue la scoperta di una vulnerabilità di sicurezza che permette l’inserimento di codice dannoso in molte dApps.
Ledger, che utilizza una rete di distribuzione di contenuti (CDN) per caricare JavaScript per le sue applicazioni o il suo sito web, si è affidato a un CDN esterno, jsdelivr, per codice critico come JavaScript. Questo può essere rischioso, poiché introduce una dipendenza da un servizio esterno che l’azienda non controlla direttamente.
Ledger non specifica le versioni esatte del codice JavaScript che carica. Ciò significa che potrebbero caricare la versione più recente di uno script, che può includere modifiche non testate: ciò sarebbe un grave errore.
Infatti, sono avvenuti 3 aggiornamenti della libreria Ledger in meno di 24 ore, introducendo una funzione “drain” che consente di svuotare il wallet degli utenti coinvolti nell’attacco firmando una transazione malevola.
Il CDN di Ledger è stato compromesso. Ciò significa che un aggressore ha potuto modificare i file JavaScript ospitati sul CDN. Dato che le applicazioni o il sito web di Ledger caricano questi script, la compromissione potrebbe portare all’esecuzione di codici dannosi sui dispositivi degli utenti, presentando significativi rischi di sicurezza, soprattutto considerando il coinvolgimento di Ledger nel sensibile ambito delle criptovalute.
Non Usare Nessuna dApp Fino al Rilascio di una Patch
Il problema quindi interessa diversi siti di finanza decentralizzata (DeFi), inclusi Sushi Swap, Zapper, Hey e anche RevokeCash. È dunque importante non farsi prendere dal panico e attendere anziché tentare di revocare accessi e commettere errori.