Ledger Connect Kit Kena Phishing, Puluhan DApps Terdampak

Kamis malam (14/12) sekitar pukul 19.30 WIB, Ledger Connect Kit, library JavaScript yang memungkinkan pengguna menghubungkan perangkat Ledger ke DApps pihak ketiga, terkena serangan phishing. Ini terjadi setelah peretas menanamkan kode jahat untuk eksploitasi Ledger Connect Kit. Sementara itu, diperkirakan US$484.000-US$504.000 telah dicuri akibat peretasan ini.

Akibat serangan itu, DApps yang terhubung ke Ledger connect kit, termasuk Zapper, SushiSwap, Phantom, Balancer, Revoke Cash, dan lain sebagainya menjadi korban dan mengimbau pengguna untuk tidak mengakses DApps hingga masalah ini selesai.

Menurut beberapa pengguna di X, kerentanan itu juga ada di program serupa lainnya yang merupakan alternatif dari LedgerHQ/connect-kit.

Menurut MetaMask, peretasan tersebut juga berdampak pada penggunanya. Mereka segera menerapkan perbaikan untuk platformnya, dengan mengatakan bahwa penggunanya pada versi terbaru, v2.121.0, seharusnya dapat “bertransaksi lagi dan akan diperbarui secara otomatis. Jika pengguna tidak menggunakan versi ini, maka diimbau untuk tidak digunakan. 

Baca juga: Pernyataan Ledger Soal Firmware Kontradiktif, Pengguna Makin Skeptis

Pukul 21.30 WIB, Ledger melaporkan bahwa kode dan file yang ditanamkan peretas telah ditangani dan telah diganti dengan versi asli. Namun, pengguna masih tidak disarankan untuk berinteraksi dengan DApps lebih dulu.

Ledger mengimbau, “Jika ada perbedaan antara layar yang ditampilkan di perangkat Ledger dan layar komputer/ponsel Anda, segera hentikan transaksi tersebut.”

Wakil presiden Polygon Labs Hudson Jameson juga mengingatkan setelah Ledger memperbaiki kode bermasalah di library-nya, proyek yang menggunakan dan menerapkan library itu perlu diperbarui untuk memastikan semua benar-benar aman untuk digunakan. 

Baca juga: Ledger Tunda Rilis Fitur Pemulihan Usai Dikritik Komunitas

Kesalahan Internal Ledger

03.21 WIB (15/12), CEO Ledger, Pascal Gauthier, memberikan keterangan resmi, bahwa peretasan ini dapat terjadi setelah seorang mantan karyawan menjadi korban penipuan phishing. Identitas karyawan tersebut diduga tertinggal dalam kode yang diretas.

“Praktik standar di Ledger adalah tidak ada satu orang pun yang dapat menerapkan kode tanpa ditinjau oleh banyak pihak. Kami memiliki kontrol akses yang kuat, tinjauan internal, dan kode multi-tanda tangan dalam sebagian besar pengembangan kami. Hal ini terjadi di 99% sistem internal kami. Setiap karyawan yang keluar dari perusahaan akan dicabut aksesnya dari setiap sistem Ledger.”

Gauthier berjanji, “Ledger akan menerapkan kontrol keamanan yang lebih kuat, menghubungkan jalur pembangunan kami yang menerapkan keamanan rantai pasokan perangkat lunak yang ketat ke saluran distribusi NPM.”

Apa yang Bisa Dilakukan Pengguna Ledger?

Perlu jadi perhatian yang terkena dampak adalah Ledger connect kit dengan akses DApps di jaringan Ethereum. Privat key tetap aman dan cold wallet Ledger tidak terdampak dan beroperasi dengan normal.

Pengguna disarankan untuk revoke akses ke DApps terdampak. Disarankan untuk berhati-hati mengklik tampilan mencurigakan dan tidak mengakses lebih dulu DApps dengan Ledger connect kit setidaknya dalam 24 jam ke depan.