Estimada Nación Bankless
Hoy por la mañana de Latinoamérica recibimos una notificación de que Ledger había sido comprometido...
RED ALERT : Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
5,004
El ataque al parecer esta relacionado con la cadena de suministro de código, por una vulnerabilidad en la seguridad del repositorio de ledger.
There is a supply attack on a popular connector, the @Ledger connect-kit.
It has been infected with a drainer, which you can confirm by deobfuscating the code.
Be extra vigilant!
Todas las aplicaciones pueden estar comprometidas y nos imaginamos que iran de una en una actualizando los protocolos de seguridad con los que trabajan. Entre los principales afectados esta Sushi, Revoke Cash, Balancer, Zapper; por lo anterior es imprescindible que desconecten las carteras y se vayan a tocar pasto. 
Es fantástico como la comunidad cripto inmediatamente comenzó a moverse para protegerse entre todos. Esto formó una coalición y un muro de hierro que permitió que muchas personas con poca o nula experiencia en el espacio se protegiera y evitará caer en esta estafa.
De igual forma dejamos un video para que entiendan como revocar las autorizaciones de aplicaciones para que se sientan un poco mas seguros.
No usen Revoke, Zapper o Sushi
Principalmente si tienen Ledger
El comportamiento del hack es basado en un contrato malicioso, con una función de drenaje que se pudo colar dentro del repositorio, al conectar tu cartera fría por la versión de Ledger Connect, se activa la función de drenaje y te quedas sin fondos. Lo que vas a notar diferente es un pop up, encima del pop up habitual.
Para estos momentos al parecer ya ha sido resuelto. Dado que es importante mantenernos en alerta constante dado que es como un asalto bancario o un robo, pero en esta ocasión la alarma vecinal sonó en todo el mundo.
We have identified and removed a malicious version of the Ledger Connect Kit. A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
To make sure you don't have the malicious library cached, go to cdn.jsdelivr.net/npm/@ledgerhq/… and ensure the version is 1.1.8.
If it's not, clear your cache. chrome- F12> Chrome Developer Tools > Application tab > Storage in left tree> Clear site data.
The vulnerability was noticed since people had their funds drained from popular dapps.
Then the interaction of the drain popup identified to come from the…
Es un buen momento para mantenernos unidos, las fechas nos ayudan pero también a las personas que tenemos al lado. Sigamos construyendo y mantengamos la explosión viral de las buenas y malas noticias lo mas rápido posible.
La recomendación es no utilizar alguna aplicación descentralizada hasta que todo vuelva a la normalidad, los expertos aseguran que por lo menos entre hoy y mañana no se mueva en absoluto algun activo o NFT con esta agresión masiva.
