Tim di belakang Buku besar mengkonfirmasi kerentanan, diamati pada 14 Desember. Masalahnya terkait dengan perpustakaan Ledger. Dalam pernyataan resminya, tim menyatakan bahwa versi berbahaya dari Ledger Connect Kit telah diidentifikasi dan dihapus. Sekitar US$610 mungkin telah terkuras selama serangan tersebut.
“Versi asli sedang diunggah untuk menggantikan file berbahaya sekarang. Jangan berinteraksi dengan dApps apa pun saat ini. Kami akan terus memberi Anda informasi seiring perkembangan situasi. Perangkat Ledger Anda dan Ledger Live belum disusupi.”
Dalam memperbarui pernyataannya, tim Ledger menyatakan bahwa versi file berbahaya tersebut digantikan oleh versi aslinya sekitar pukul 14:35 CET.
“Versi asli yang baru harus segera disebarkan. Kami akan memberikan laporan komprehensif segera setelah siap. Sementara itu, kami ingin mengingatkan komunitas untuk selalu menandatangani transaksi Anda dengan jelas – ingatlah bahwa alamat dan informasi yang ditampilkan di layar Buku Besar Anda adalah satu-satunya informasi asli. Jika ada perbedaan antara layar yang ditampilkan di perangkat Ledger Anda dengan layar di komputer/ponsel Anda, segera hentikan transaksinya,” peringatannya.
🚨Kami telah mengidentifikasi dan menghapus versi berbahaya dari Ledger Connect Kit. 🚨
Versi asli sedang didorong untuk menggantikan file berbahaya sekarang. Jangan berinteraksi dengan dApps apa pun untuk saat ini. Kami akan terus memberi Anda informasi seiring perkembangan situasi.
Perangkat Buku Besar Anda dan…
- Buku Besar (@Ledger) Desember 14, 2023
Peringatan Keamanan Wallet Ledger: Kerentanan Mempengaruhi Platform DeFi
Matthew Lilley, CTO bursa terdesentralisasi SushiSwap, membuat pengumuman penting, memperingatkan investor tentang kerentanan keamanan yang serius. Menurut Lilley, pengguna harus menghindari interaksi dengan dApp apa pun hingga pemberitahuan lebih lanjut. Panduan ini muncul setelah diketahui bahwa platform SushiSwap berada di bawah ancaman perangkat lunak berbahaya.
Sumber masalahnya, seperti dijelaskan oleh Lilley, terkait dengan GitHub milik penyedia dompet perangkat keras Ledger. Dia menekankan keseriusan situasi ini, dengan menyatakan:
“Jangan berinteraksi dengan dApps APAPUN sampai pemberitahuan lebih lanjut. Konektor web3 yang banyak digunakan tampaknya telah disusupi, sehingga memungkinkan injeksi kode berbahaya memengaruhi sejumlah besar dApps.”
Pernyataan ini menunjuk pada serangan berskala besar, tidak hanya pada satu dApp, namun beberapa dApp lainnya, semuanya terkait dengan perpustakaan Ledger.