Gebruikers van DeFi en Web3 apps in de problemen door hack via ‘Ledger Connector’

Meerdere populaire DeFi apps (dApps) zijn woensdag gehackt. Het ging mis bij een populaire Web3-connector. Matthew Lilley, CTO van SushiSwap, waarschuwt:

“Stop tot nader order met interactie met IEDERE dApps. Het lijkt erop dat een veelgebruikte web3-connector is aangetast, waardoor kwaadaardige code kan worden geïnjecteerd die van invloed is op talloze dApps.”

De connector in kwestie is ‘Ledger Connector’, een tool van het populaire walletbedrijf. Gebruikers kunnen hun mobiele wallet verbinden met decentralized apps zoals beurzen en leenplatforms. Hierdoor heeft de aanval niet alleen invloed op één dApp, maar op alle dApps die gebruik kunnen maken van de Connect Kit van Ledger.

Niet veel na de eerste berichtgeving bevestigt Ledger dat ze het verantwoordelijke stukje code hebben geïdentificeerd. Het is uit de libraries verwijderd.

“Er wordt nu een echte versie gepusht om het kwaadaardige bestand te vervangen.”

Andere Twitteraars bevestigen dat het mis ging bij Leger. Ze zagen dat een deel van de library werd “vervangen door drainers”, waarbij er nieuwe velden zoals “minimalDrainValue” in de code waren ingevoegd. Hierdoor konden walletbalansen helemaal worden leeggetrokken. (Gebruikers van) dApps die de dupe zijn van dit probleem zijn onder meer Sushi, Zapper en Revoke.cash.

Het is niet de eerste keer dat Ledger onder vuur ligt. Met hun ‘Ledger Recover’ feature, die ze eerder dit jaar aankondigden, konden klanten hun private keys opsplitsen en bij drie bedrijven stallen. Het riep veel vragen op. Ook was de klantendatabase van het Franse bedrijf al een gehackt, waardoor klantgegevens op straat kwamen te liggen.