O ecossistema de aplicativos descentralizados (dApps, na sigla em inglês) foi alvo nesta quinta-feira, 14, de um amplo ataque hacker que pode ter atingido diversos projetos envolvidos no ecossistema, colocando em risco fundos de milhares de investidores. Até o momento, estima-se que os responsáveis pelo ataque conseguiram roubar cerca de US$ 600 mil (quase R$ 3 milhões, na cotação atual) em criptoativos.

João Galhardo, analista da Mynt, plataforma de cripto do BTG Pactual, explica que o ataque teve como alvo uma base de código da empresa Ledger, "frequentemente usada por diversos dApps para a integração de carteiras digitais. Os invasores conseguiram inserir um código malicioso que permite a extração de fundos das carteiras que autorizam o dApp vinculado a essa base, afetando potencialmente qualquer usuário que conecte sua carteira digital".

Na prática, isso significa que qualquer usuário que tenha tentado realizar alguma operação em aplicativos descentralizados que usam esse sistema da Ledger acabou autorizando, sem saber, a extração dos fundos da sua carteira digital.

"A Ledger já se manifestou sobre o incidente, informando ter identificado e eliminado a versão comprometida de sua base de código. Uma versão corrigida está sendo distribuída aos desenvolvedores. No entanto, recomenda-se que os usuários evitem qualquer interação on-chain [em blockchains] até que esta nova versão seja amplamente implementada e verificada", destaca Galhardo.

O analista pontuou ainda que todos os dApps afetados precisarão implementar a correção criada pela Ledger para garantir que eles não estarão mais comprometidos. Até o momento, ainda não se sabe quantos aplicativos foram atingidos, mas a lista inclui projetos relevantes no mercado, incluindo a Zapper e a corretora descentralizada SushiSwap.

• O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Matthew Lilley, CTO da SushiSwap, também recomendou no X, antigo Twitter, que os usuários não interajam com dApps até que todo o problema seja resolvido. Ele destacou que "praticamente todos os dApps" usam a base de código da Ledger que foi afetada pelo ataque hacker, indicando um alcance significativo da ação dos hackers.

Lilley avaliou que "felizmente, os estragos parecem ser limitados graças a um pouco de sorte e coincidência em descobrir isso tão cedo". Mesmo assim, ele ainda desaconselha o uso de dApps no momento.

Em uma publicação no X, a Ledger informou que "uma versão genuína está sendo enviada para substituir o arquivo malicioso agora. Não interaja com nenhum dApp no momento. Manteremos você informado à medida que a situação evoluir. Seu dispositivo Ledger e o Ledger Live não foram comprometidos". Segundo a empresa, a nova versão será "distribuída em breve".

🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨

A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.

Your Ledger device and…

— Ledger (@Ledger) December 14, 2023

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok