ZCash Brasil no Discord.

Ledger alerta usuários sobre risco em transações on-chain após ataque

Ledger recomenda suspender transações on-chain após ataque ao NPM que comprometeu pacotes JavaScript usados em projetos cripto.

Ledger alerta sobre risco on-chain. imagem: IA

Um dos maiores ataques à cadeia de suprimentos da história da web atingiu o ecossistema JavaScript e acendeu um alerta vermelho no setor cripto. O CTO da Ledger, Charles Guillemet, recomendou que usuários sem carteiras físicas interrompam imediatamente qualquer transação on-chain.

O ataque comprometeu pacotes amplamente utilizados no NPM, afetando ferramentas que sustentam milhões de projetos. Assim sendo, o risco de manipulação de endereços e roubo de fundos se tornou real e urgente.

O ataque à cadeia de suprimentos do NPM e seus impactos no setor cripto

O ataque começou com a invasão da conta de Josh Goldberg, conhecido como “Qix”, um mantenedor de pacotes populares no NPM.

Dessa forma, os invasores conseguiram publicar versões maliciosas de bibliotecas como chalk, debug, strip-ansi e color-convert, que juntas somam mais de 2,6 bilhões de downloads semanais.

Como o malware afeta transações on-chain

O código malicioso incluía um “crypto-clipper”, capaz de interceptar funções do navegador e substituir endereços legítimos de carteiras por endereços controlados pelos atacantes.

Inclusive, em alguns casos, o malware modificava transações antes da assinatura, comprometendo diretamente o envio de fundos. Sendo assim, qualquer usuário que interagisse com essas bibliotecas corria o risco de ter suas criptomoedas desviadas sem perceber.

Reação imediata da comunidade e da Ledger

Charles Guillemet publicou um alerta urgente no X (antigo Twitter), recomendando que usuários sem carteiras físicas evitem transações on-chain até que o cenário esteja seguro.

Em resumo, ele afirmou que quem utiliza hardware wallets com verificação clara de assinatura está protegido, mas os demais devem suspender qualquer atividade on-chain por precaução.

Principais bibliotecas afetadas e medidas de mitigação

A escala do ataque exige atenção redobrada de desenvolvedores e usuários. Além disso, projetos que atualizaram dependências recentemente podem estar vulneráveis, mesmo após os patches.

Bibliotecas comprometidas

  • chalk: mais de 300 milhões de downloads semanais
  • debug: cerca de 358 milhões de downloads por semana
  • strip-ansi e color-convert: amplamente utilizadas em ferramentas como Babel e ESLint

Medidas recomendadas

  • Verificar todas as dependências em projetos ativos
  • Reverter atualizações recentes de pacotes afetados
  • Utilizar carteiras físicas com verificação de assinatura
  • Evitar transações on-chain até confirmação de segurança

Consequências para o ecossistema JavaScript e o mercado cripto

A invasão ao NPM expôs fragilidades na cadeia de distribuição de software. Sendo assim, o episódio serve como alerta para toda a indústria sobre os riscos crescentes de ataques sofisticados.

O método utilizado lembra estratégias de grupos hackers norte-coreanos, como os que roubaram US$ 1,5 bilhão da Bybit em 2025. Dessa forma, o uso de engenharia social e manipulação de dependências mostra que o foco dos invasores está cada vez mais na infraestrutura.

Reações de grandes projetos

Uniswap, MetaMask, Ledger, OKX Wallet, Sui, Aave e Morpho afirmaram que não foram afetados diretamente. Contudo, a recomendação geral é que todos os desenvolvedores revisem seus projetos e evitem atualizações automáticas de pacotes.

Por fim, o ataque reforça a importância de práticas seguras no desenvolvimento e uso de aplicações descentralizadas. Inclusive, a dependência de bibliotecas externas exige monitoramento constante e validação rigorosa.

Avatar de Joao Sant

Escrito por