Recentemente, a Ledger, uma empresa líder em soluções de segurança para criptoativos, enfrentou um desafio significativo. O CEO da Ledger, Pascal Gauthier, abordou um recente “ataque à cadeia de suprimentos” que afetou o Ledger ConnectKit, em uma declaração divulgada na quinta-feira.
Gauthier destacou os rigorosos protocolos de segurança da empresa: “Na Ledger, é prática padrão que nenhum código seja implantado sem uma revisão minuciosa por várias partes. Implementamos fortes controles de acesso, revisões internas e um sistema de código com múltiplas assinaturas, especialmente para a maior parte do nosso desenvolvimento. Isso se aplica a 99% dos nossos sistemas internos. Quando um funcionário deixa a empresa, seu acesso a todos os sistemas Ledger é imediatamente revogado”, explicou.
No entanto, na manhã daquela quinta-feira, um incidente alarmante ocorreu quando um ex-funcionário caiu em um ataque de phishing. Esse incidente forneceu a um hacker acesso ao gerenciador de pacotes da Ledger. Até o momento, os detalhes de como o ex-funcionário manteve acesso ao sistema permanecem obscuros, e a Ledger ainda não respondeu a um pedido de esclarecimentos.
Gauthier continuou: “Este foi um infeliz incidente isolado. É um lembrete de que a segurança é um processo contínuo e que estamos comprometidos em aprimorar constantemente nossos sistemas e processos de segurança. Estamos implementando controles de segurança mais rigorosos, conectando nosso pipeline de construção que abrange desde a segurança rigorosa da cadeia de fornecimento de software até o canal de distribuição NPM.”
O CEO também revelou que a Ledger intensificará a segurança em torno das dapps que permitem assinaturas baseadas em navegadores. Após o incidente, a conta oficial da Ledger no X promoveu transações com assinatura transparente e clara. No site da empresa, explica-se: “Com assinatura transparente e clara, você recebe uma versão transformada dos dados originais”, facilitando para o usuário compreender o que está assinando.
O incidente foi notificado inicialmente na manhã de quinta-feira. A exchange descentralizada SushiSwap foi uma das primeiras a identificar o problema, suspendendo seu aplicativo web front-end e alertando os usuários para evitar interações com pop-ups inesperados de “Connect Wallet”. Revoke.cash, que também colocou seu front-end offline, foi impactada, conforme relatado pela empresa de segurança cibernética BlockAid.
A Ledger agiu rapidamente após a descoberta do problema, implantando o ConnectKit genuíno e colaborando com a WalletConnect para eliminar o código malicioso, tudo isso em menos de 40 minutos após a detecção. A empresa indicou que a exploração ficou ativa por cerca de 5 horas.