Falha de segurança atinge a Ledger

[criptoevangelista]

Falha de segurança atinge a Ledger e protocolos DeFI entram em alerta: “Pare de usar dApps”, diz MetaMask
Ledger alertou os usuários para não se conectarem a nenhum dApps depois que uma versão maliciosa de seu Connect Kit foi identificada




mais informações e fonte da notícia:

https://bitcointalk.org/index.php?topic=5477887.0

https://blocktrends.com.br/ledger-tem-biblioteca-hackeada-e-codigo-malicioso-inserido/

https://portaldobitcoin.uol.com.br/falha-de-seguranca-atinge-a-ledger-e-protocolos-defi-entram-em-alerta-pare-de-usar-dapps-diz-metamask/


________________________________________________________________________


Denovo temos polêmicas e más notícias com a Ledger

Eu uso uma Ledger Nano X, apesar de não usar absolutamente nenhum dapp fico bem preocupado quanto a isso...

[1714558318]

1714558318

[1714558318]

1714558318

[1714558318]

1714558318

[1714558318]

1714558318

[1714558318]

1714558318

[1714558318]

1714558318

[nikolaspaolo]

Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.

05 horas de drenagem, 500 mil dolares, falha da ledger.

os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

[criptoevangelista]

Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.

05 horas de drenagem, 500 mil dolares, falha da ledger.

os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

Exatamente, muito difícil gerenciar tudo isso, saiu do controle.

Uma forma é ter uma outra carteira pra fuçar com nessas "quebradeiras" de DeFi, nunca usar o "cofre" principal pra isso.

Mesmo sabendo o que está se fazendo o risco é alto justamente por conta de inúmeros scams, minha própria metamask tem um monte de shitcoins scam que enviaram pra mim do nada. Jamais vou interagir com qualquer uma delas.

É preciso muita cautela, pois esse ambiente é uma terra de ninguém.

Agora será que a Ledger vai se responsabilizar e ressarcir quem se ferrou por negligência dela? Difícil... vai ficar por isso mesmo e vida que segue. Enfim, sempre é bom ser extremamente desconfiado com tudo.

[sabotag3x]

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

Precisa atualizar? pelo que vi não teve commit nenhum no Github deles.. a correção foi feita no arquivo externo que foi "sequestrado"..

Mesmo assim não uso o tal "Connect Kit", então acho que não muda nada para mim.

Denovo temos polêmicas e más notícias com a Ledger

Ano que vem tem mais

[rdluffy]

Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.

05 horas de drenagem, 500 mil dolares, falha da ledger.

os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

´

Que loucura
Ainda não consegui parar pra ler tudo e entender o que aconteceu, mas só foi afetado quem interagiu com algum DeFi com a ledger?

Minha Ledger até hoje eu só usei para gerar a seed e interagir com a Electrum e o aplicativo Ledger live

[TryNinja]

Explicação do caso:

- A Ledger Connect Kit é uma biblioteca em Javascript feita para facilitar a conexão de um dispositivo Ledger com sites dapps. Quando você entra em uma Uniswap da vida, um Aave, etc... e vai conectar a sua Ledger, utiliza-se dessa biblioteca.

- Conseguiram credenciais de dentro da Ledger para fazer o envio de código MALICIOSO para o codebase da biblioteca. Basicamente uma Uniswap da vida poderia estar rodando um Ledger Connect Kit alterada que solicita uma conexão e pede a confirmação de uma tx onde que você estaria enviando as suas moedas para um hacker.

- Essa vulnerabilidade em NADA afeta o hardware da Ledger em si. Você poderia ter usado sua Ledger com a Electrum para enviar 1 BTC e não teria corrido nenhum perigo, por exemplo.


Infelizmente algo similar já ocorreu com a carteira da Copay, onde um hacker fez engenharia social para conseguir o controle de uma biblioteca open-source que servia de base para outras (incluindo a Copay). Então ele fez o deploy de um update dessa biblioteca com um código escondido focado em roubar moedas de carteiras da Copay.: https://www.trendmicro.com/vinfo/au/security/news/cybercrime-and-digital-threats/hacker-infects-node-js-package-to-steal-from-bitcoin-wallets

[Paredao]

Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.

[alegotardo]

Falha de segurança atinge a Ledger e protocolos DeFI entram em alerta: “Pare de usar dApps”, diz MetaMask
Denovo temos polêmicas e más notícias com a Ledger

Só notícias boas pro lado da Ledger, que bacana!

Eu também, felizmente não uso de dApps, pois também tenho uma Nano S bem antiguinha que tem capacidade para no máximo umas 3 carteiras distintas.
Estou cogitando comprar uma Trezor ano que vem, mas vendo na internet descobri que a quantidade Hardware-Wallets "diferentes" é gigantesca... opções tem aos montes mas fico com medo de ariscar em algo "novo". O que vocês me recomendariam?

De Ledger quero passar longe, apesar de ainda me sentir seguro usando ela só para o básico e associada com a Electrum (sem usar aquela porcaria de Ledger Live), a cada dia que passo perco mais minha confiança nessa empresa que um dia eu recomendava sem receio.

[Lucasgabd]

Poie é. Admirava tanto a Ledger HW1, lá nao tinha nada, era uma tela preta e volume em bitcoin, nada mais, simples. Porém, a ledger teve que crescer e tem mais de 5 mil criptomoedas, imagina gerenciar o backend disso, entao vive tendo update. Pra piorar ta cheio de scam nesses defis da vida, ai deu ruim né, local muito amplo pra sofrer ataque.

05 horas de drenagem, 500 mil dolares, falha da ledger.

os blocos Exploradore já deram red flag no endereco e a tether limited já deu congelamento nos fundos.

Atualizar a ledger agora urgente e nao mover fundos nas proximas 24 horas.

agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos

game over

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.

[TryNinja]

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.

A internet é muitas vezes mais frágil do que imaginamos.

Lembra aquela imagem:



Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e...

[joker_josue]

Nesse caso foi um ataque direto a lib da Ledger, mas a maior parte da internet usa bibliotecas open-source de um único dev e nem mesmo verificam o seu source code em caso de updates silenciosos. Um dev malicioso e...

Sabem o que eu acho piada no meio disto tudo?

Bem, sempre que entro num debate do Linux vs Windows, surge sempre a historia de: "o linux é open-source e todos podem verificar, onde milhares de utilizadores de todo o mundo, validam a informação e por isso é que é mais seguro, com menos erros, etc..."
Mas, depois surgem estas noticias que alguém usou uma biblioteca open-source que tinha um bug ou um dev era malicioso, e causo problemas a milhares de pessoas.
Então, mas ser open-source não é para minimizar esta situações, porque todos podem validar - e alegadamente há quem valide?

Enfim, eu não só contra o Linux, nem contra o open-source. Apenas, quero destacar, que todos os sistemas estão subjetivos a falhas, e se quem as identifica for malicioso, trará muitos problemas. Eu sei, que ser open-source, não significa segurança, não é isso que quero dizer. O que quero dizer, é que cada vez mais se confiam nessas bibliotecas, porque facilita o trabalho, e depois surgem problemas graves que dificilmente alguém irá ser responsabilizado.

Só espero, que estas falhas, sirvam para melhorar todo o ecossistema, e nem me refiro a Ledger, mas de um modo geral.

[Disruptivas]

agora, a forte ironia do destino foi:
aparentemente o hacker trocou os 500-600k roubados por USDT
aí a tether foi lá e congelou os fundos

game over

o que foi bizarro é um dev sozinho com acesso à uma dependência específica conseguir afetar tantos dapps ao mesmo tempo... bem problemático e espero que gere uma nova onda de mudança para proteger frontends.

Essa parte da história não tinha visto ainda. Realmente uma grande ironia!
Mas se pensarmos, grande parte das grandes invenções foram realmente dadas por algumas poucas figuras proeminentes. Claro que depois vai tendo várias outras juntas suportando o desenvolvimento. Mas no geral é realmente uma pessoa fora da curva que bagunça tudo, faz coisas impensáveis e ousa. Acho que o caso dos devs assim.

Um dev bem focada e com motivações pessoais fortes > 100 devs de uma empresa mais ou menos com chefes que odeiam.

[non fungible anxiety]

E é por isso que carteira fria é pra ser fria, depositar e sacar apenas.

[bitmover]

A notícia é ruim, embora os riscos não sejam grandes para a absurda maioria dos usuários. E essa falha não afetou usuários de bitcoin que não tem dapps.

A Ledger está indo num mal caminho. As recentes histórias de compartilhamento de informações, seed indo pra nuvem nas novas versões, bugs desse tipo e coisas assim mostram que a empresa está se perdendo.

Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro

[joker_josue]

Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro

Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.

Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.

[bitmover]

Estou de olho em opções de boas hardware wallets para substituir minha ledger no futuro... mas ainda deve ficar uns anos na minha mão a q eu tenho aqui.

Como uso só basicamente so pra bitcoin e evito usar a ledger live, acho q estou seguro

Somos dois. Eu tenho andado a ver carteiras que funcionam diretamente no Electrum, mas as opções não me tem chamado atenção.

Enfim, a minha Ledger é nova, não ligo ao Live, pois só uso para o Bitcoin e não preciso de instalar nenhuma dapp.

Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.

[joker_josue]

Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.

Não uso outras moedas... 
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.

[bitmover]

Eventualmente você irá precisar da Ledger live para atualizar o firmware, ou qd quiser instalar outros apps para usar outras moedas.

Mas não precisa ser sempre, e vc não precisa adicionar todas as suas accounts na ledger live.

Não uso outras moedas... 
Atualizar o firmware, talvez, mas precisa de haver um motivo muito forte para o fazer.

A última atualização do meu foi em 2021, para suporte ao taproot
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true

[joker_josue]

A última atualização do meu foi em 2021, para suporte ao taproot
https://support.ledger.com/hc/en-us/articles/7103926130845-Latest-Firmware-updates-for-Ledger-Nano-S-X-and-S-plus?support=true

O meu tem a atualização anterior a ultima que dá suporte ao serviço de recuperação. Por isso, muito provavelmente não irei fazer mais nenhum update.

[alexrossi]

Está a cada dia mais difícil em confiar numa carteira de criptomoedas que seja segura. Parece paranoia minha, mas a cada dia que passa, estou limitando cada vez mais minhas transações. Raramente ando a fazer algum trade, mesmo que seja uma boa oportunidade. Não sei onde isso vai parar.

Nao è paranoia, è perigo mesmo.

Esta sendo quase mais seguro e fácil fazer um cold Storage apropriado sem hw Wallet. Esses aparelhos nasceram para agilizar a segurança mas pelo visto nao estão 100% conseguindo com tanta função extra.