El CTO de SushiSwap sospecha de un compromiso de Ledger Connect y pide evitar interactuar con cualquier DApp

Matthew Lilley, el CTO (Director de Tecnología) de SushiSwap, ha advertido a los usuarios en X (Twitter) que eviten interactuar con cualquier aplicación descentralizada (DApps). Varias DApps han confirmado un compromiso.

Los incidentes de seguridad en el ámbito de las criptomonedas son frecuentes. Sin embargo, están aislados en un único protocolo. Sin embargo, al momento de escribir este artículo, hay un ataque en curso a muchas aplicaciones descentralizadas (DApps).

Se pide a los usuarios que eviten la interacción con DApps debido a un ataque

Lilley escribió en X (Twitter):

“No interactuar con NINGUNA DApp hasta nuevo aviso. Parece que un conector Web3 de uso común se ha visto comprometido, lo que permite la inyección de código malicioso que afecta a numerosas DApps”.

También ha pedido a la empresa de hardware de monederos Ledger que investigue más a fondo el asunto. La firma de seguridad Web3, Blockaid, sospecha de un posible ataque a la cadena de suministro del kit Ledger Connect. Escribió:

“El atacante inyectó una carga útil que drenaba el monedero en el popular paquete NPM. Esto afecta actualmente a un par de dapps populares, incluyendo pero no limitado a Hey.xyz, y Sushi.com”.

Además, Además, Blockaid compartió con BeInCrypto que se han perdido más de 150,000 dólares en fondos en las últimas dos horas. Revoke.cash también ha confirmado que ha sido comprometido. Mientras tanto, también instó a los usuarios a evitar el uso de cualquier sitio web cripto hasta que haya mayor claridad.

Lilley intentó resumir el incidente en tres puntos y dijo que Ledger cometió “una cadena de errores terribles”:

  • Están cargando JS desde una CDN
  • No son JS cargados con bloqueo de versión.
  • Tenían su CDN comprometida.

Finalmente, Ledger informó a los usuarios que había identificado y eliminado la versión maliciosa de Kit Ledger Connect:

Ahora se está publicando una versión genuina para reemplazar el archivo malicioso. No interactúes con ninguna dApp por el momento. Le mantendremos informado a medida que evolucione la situación.

Su dispositivo Ledger y Ledger Live no se vieron comprometidos.

Noticia en desarrollo…

¿Tiene algo que decir sobre las DApps comprometidas o cualquier otro tema? Escríbanos o únase a la discusión en nuestro canal de Telegram. También puede encontrarnos en Facebook o X (Twitter).

- Advertisement - spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí