Utente di Ledger Nano perde 16.000$ a causa di un malware in un'estensione per Chrome

L'utente di Twitter e sviluppatore WizardofAus (@BTCSchellingPt) ha messo in guardia la comunità da un'estensione di Google Chrome per i wallet di criptovalute Ledger, in quanto contenente un malware.

In particolare, in un tweet del 2 gennaio WizardofAus ha affermato:

"Avviso: malware in un'estensione di Chrome. Se avete installato 'Ledger Secure', RIMUOVETELO IMMEDIATAMENTE. L'estensione di Chrome 'Ledger Secure' contiene un malware che trasferisce la vostra seed phrase all'autore dell'estensione.

Questo NON È un prodotto ufficiale realizzato da @Ledger. È già stato utilizzato con successo contro l'utente @hackedzec."

Il profilo Twitter "@hackedzec" è stato creato da pochi giorni, appositamente per raccontare l'esperienza della vittima con il malware e accrescere la consapevolezza della comunità su questo nuovo rischio. Il 2 gennaio, anche il supporto ufficiale di Ledger ha confermato la presenza di un malware nell'estensione.

Alena Vranova, ex dirigente di Trezor nonché collaboratrice alla stesura del libro "Little Bitcoin Book", ha commentato in merito all'incidente:

"Un'altra dimostrazione del fatto che la parola 'sicuro' non implica sicurezza."

Imparare dagli errori altrui

Secondo quanto dichiarato da WizardofAus, il creatore dell'estensione per Chrome sarebbe riuscito a rubare 600 unità di Zcash (ZEC) — equivalenti a circa 16.000$ — dal Ledger Nano di @hackedzec.

Facendo riferimento alle parole di Jeremy Welch, il fondatore di Casa che già lo scorso anno aveva messo in guardia contro l'utilizzo di estensioni per browser, WizardofAus ha sottolineato che questi software rappresentano un notevole rischio per la sicurezza dei propri fondi:

"Innanzitutto, prestate molta attenzione a quali estensioni installate. Se impiegate lo stesso computer sia per criptovalute che per uso generale, state ancora più attenti.

È preferibile utilizzare una macchina separata con soltanto il software essenziale, oppure una Virtual Machine, per portare a termine le vostre attività con criptovalute."

Lo sviluppatore consiglia inoltre di utilizzare soltanto il software proprietario del venditore del wallet — in questo caso Ledger — e di controllare di star effettivamente scaricando il file dal sito ufficiale dell'azienda. Per garantire l'integrità del file, gli utenti dovrebbero anche verificare che l'hash del software corrisponda con quella riportata sul sito del venditore.