Em 14 de dezembro de 2023, um ataque de phishing contra um ex-funcionário da Ledger comprometeu o Ledger Connect Kit por menos de duas horas — expondo usuários de DApps de terceiros e acendendo um alerta para toda a indústria Web3.
O Ledger Connect Kit exploit de dezembro de 2023 se tornou um dos incidentes de segurança mais discutidos no ecossistema cripto daquele ano. A falha não atingiu o hardware dos dispositivos Ledger nem o aplicativo Ledger Live — mas afetou uma biblioteca Javascript amplamente usada para conectar sites a carteiras, expondo usuários que interagiam com DApps de terceiros no navegador.
O CEO e presidente da Ledger, Pascal Gauthier, publicou uma carta aberta detalhando o ocorrido, assumindo responsabilidade e anunciando medidas corretivas. A seguir, o KriptoHoje reconstrói os fatos com base nessa comunicação oficial e na linha do tempo divulgada pela empresa.
Como o Ledger Connect Kit exploit aconteceu
O vetor de ataque foi um phishing direcionado. Um ex-funcionário da Ledger teve sua conta no NPMJS — o gerenciador de pacotes Javascript mais usado no mundo — comprometida por um agente malicioso. A partir dessa credencial, o atacante publicou versões adulteradas do Ledger Connect Kit: as versões 1.1.5, 1.1.6 e 1.1.7.
O código malicioso injetado explorava um projeto desonesto vinculado ao WalletConnect para redirecionar fundos de usuários para uma carteira controlada pelo atacante. Qualquer DApp de terceiro que carregasse essas versões comprometidas da biblioteca poderia, silenciosamente, drenar os ativos de usuários que aprovassem transações no navegador.
Linha do tempo do incidente
O arquivo malicioso ficou ativo por aproximadamente 5 horas, mas a janela efetiva de drenagem de fundos foi estimada em menos de duas horas. A correção foi implantada dentro de 40 minutos após a Ledger tomar conhecimento do ataque. A versão segura, 1.1.8, foi disponibilizada em seguida. O endereço do atacante — 0x658729879fca881d9526480b82ae00efc54b5c2d — foi rastreado pela Chainalysis, e a Tether congelou os USDT do agressor.
O que estava em risco — e o que não foi afetado
Uma das confusões mais comuns após o incidente foi a percepção de que os próprios dispositivos Ledger teriam sido comprometidos. Isso não aconteceu. A falha foi exclusivamente na camada de software da biblioteca de conexão com DApps — uma camada que opera no navegador, fora do ambiente seguro do hardware.
Hardware dos dispositivos Ledger (Nano X, Nano S Plus, Stax, Flex): integridade total mantida. Ledger Live: não comprometido. Chaves privadas armazenadas no chip seguro: inacessíveis pelo exploit.
DApps de terceiros que utilizavam as versões 1.1.5, 1.1.6 e 1.1.7 do Ledger Connect Kit. Usuários que aprovaram transações via navegador durante a janela ativa do código malicioso.
Esse ponto é fundamental: o risco estava na interação com aplicações descentralizadas via navegador, não na custódia offline dos ativos. Quem mantinha seus fundos sem interagir com DApps naquele período não foi impactado.
Para usuários que buscam elevar a segurança na gestão de ativos digitais, a Ledger Flex e o Ledger Stax oferecem suporte à assinatura clara (clear signing) — tecnologia que exibe em tela confiável exatamente o que o usuário está autorizando, reduzindo o risco de aprovações não intencionais.
Assinatura cega versus assinatura clara: o debate reaberto
Na carta publicada após o incidente, Pascal Gauthier reforçou a posição da Ledger em favor da assinatura clara (clear signing) como principal mecanismo de defesa do usuário final. A lógica é direta: se o usuário consegue ler, na tela de um dispositivo confiável, exatamente o que está assinando, ele tem a chance de recusar uma transação desonesta antes de confirmá-la.
A assinatura cega (blind signing), por outro lado, exibe apenas um hash criptográfico — uma sequência de caracteres sem sentido para a maioria dos usuários. Nesse modelo, é praticamente impossível identificar se uma transação foi adulterada antes da confirmação.
- ✅ Assinatura clara: O usuário vê o destinatário, valor e contrato na tela do dispositivo antes de confirmar. Reduz risco de aprovações involuntárias em ataques de redirecionamento.
- ✗ Assinatura cega: O dispositivo exibe apenas um hash. O usuário não tem como verificar o conteúdo real da transação — e um código malicioso no navegador pode substituir o destino dos fundos sem que ele perceba.
- ✅ Recomendação da Ledger: DApps podem implementar suporte à assinatura clara via sistema de plugins do Ethereum, disponível em developers.ledger.com.
- ✗ Atenção: Se ainda precisar usar assinatura cega, a Ledger recomenda utilizar uma carteira dedicada exclusivamente a essa finalidade, isolando os ativos principais.
Usuários que desejam aprofundar o conhecimento sobre como configurar e usar dispositivos Ledger com segurança máxima — incluindo práticas de clear signing e gerenciamento de carteiras separadas — podem considerar o Curso Ledger do básico ao avançado, disponibilizado pela KriptoBR.
Resposta da Ledger e medidas anunciadas
A Ledger detalhou as ações imediatas e as mudanças estruturais que pretende implementar. No curto prazo, a empresa coordenou com a WalletConnect para desativar o projeto desonesto, acionou a Chainalysis para rastrear o endereço do atacante e colaborou com a Tether para o congelamento dos USDT roubados. Queixas formais foram apresentadas às autoridades.
No plano estrutural, Gauthier anunciou que a Ledger irá conectar seu pipeline de construção de software — que já aplica segurança rigorosa de cadeia de suprimentos internamente — ao canal de distribuição NPM. O objetivo é eliminar a possibilidade de que uma conta individual, mesmo comprometida, consiga publicar código no pacote sem passar por revisões multi-party.
📋 Nota editorial
Vale notar que a prática declarada da Ledger — exigir revisão multi-party para qualquer deploy de código — não cobria o pipeline NPM no momento do incidente. A empresa reconheceu a lacuna publicamente. O episódio ilustra que mesmo empresas com processos maduros de segurança podem ter pontos cegos em integrações de terceiros, especialmente em ferramentas voltadas para desenvolvedores externos. Leia também sobre backup offline com a Ledger Recovery Key para entender como proteger suas chaves além do dispositivo.
O que os usuários devem saber sobre segurança com hardware wallets
O incidente do Ledger Connect Kit exploit reforça uma distinção essencial: o modelo de segurança de uma hardware wallet protege as chaves privadas contra ataques remotos, mas não protege automaticamente o usuário de autorizar transações maliciosas via navegador.
A camada de proteção mais eficaz, nesse cenário, é o próprio usuário — que precisa verificar, na tela do dispositivo, cada detalhe da transação antes de confirmar. Essa é exatamente a proposta da assinatura clara, suportada por modelos como a Ledger Gen5, que integra a mais recente geração de segurança da empresa.
O endereço de destino e o valor exibidos na tela do hardware são a única fonte confiável. O que aparece no navegador pode ser manipulado.
Use uma carteira dedicada para interações com DApps e outra para armazenamento de longo prazo. Limitar exposição reduz o impacto de eventuais ataques.
Atualizações de firmware trazem correções de segurança e novas proteções. Verifique regularmente via Ledger Live.
O vetor inicial deste ataque foi phishing. Credenciais de acesso a ferramentas de desenvolvimento nunca devem ser inseridas a partir de links recebidos por e-mail.
Para quem deseja orientação personalizada sobre a configuração segura de dispositivos Ledger, a KriptoBR disponibiliza a Consultoria Ledger Expert — um serviço de suporte técnico individual conduzido por especialistas em português.
Lição central do episódio
O hardware wallet protege suas chaves privadas contra ataques remotos — e esse modelo resistiu intacto durante o exploit. O elo fraco foi a camada de software intermediária entre o dispositivo e os DApps. O episódio demonstra que segurança em cripto é multicamada: hardware seguro é necessário, mas não suficiente. A verificação ativa de cada transação, em tela confiável, continua sendo a defesa mais eficaz disponível ao usuário final.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com hardware Ledger original
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ O que é assinatura cega em cripto?Saiba o que é blind signing, por que representa risco ao usar DApps e como a assinatura clara muda esse cenário.
📦 Hardware wallet: como escolher o modelo certoComparativo entre os principais modelos de hardware wallet disponíveis no Brasil, com foco em segurança e perfil de uso.
🔍 Phishing em cripto: como funcionam os ataquesO phishing é o principal vetor de roubo no ecossistema cripto. Veja como identificar tentativas e proteger suas credenciais.