- Ledger resuelve rápidamente una vulnerabilidad que afectó a múltiples DApps, incluyendo SushiSwap y Revoke.cash, reforzando la seguridad en su plataforma.
- La brecha de seguridad en la biblioteca conectora de Ledger subraya la importancia de la vigilancia constante en el ecosistema cripto.
La mañana del 14 de diciembre, un ex empleado de Ledger sufrió un ataque de phishing que permitió a un hacker acceder a su cuenta de NPMJS. El hacker publicó una versión maliciosa del Ledger Connect Kit, afectando a las versiones 1.1.5, 1.1.6 y 1.1.7.
El código malicioso utilizó un proyecto fraudulento de WalletConnect para redirigir los fondos a la billetera del atacante. Ledger, al darse cuenta del problema, reaccionó rápidamente y logró implementar un parche en solo 40 minutos. Sin embargo, el archivo malicioso estuvo activo durante aproximadamente 5 horas, con un período de malversación de fondos de al menos dos horas.
Esta vulnerabilidad de la biblioteca afectó a varias aplicaciones descentralizadas (DApps), incluyendo SushiSwap y Revoke.cash.
El Alcance de la Vulnerabilidad
La falla de seguridad afectó el frente de múltiples DApps que utilizaban el conector de Ledger, como Zapper, Phantom, Balancer y Revoke.cash. El problema fue detectado y reportado el 14 de diciembre.
⚠️⚠️⚠️⚠️⚠️⚠️
Warning: Multiple popular crypto applications that integrate with Ledger's ConnectKit library, including https://t.co/MkINKOiX5N have been compromised. We temporarily took the website offline as we're investigating further. We recommend not using *any* crypto website…— Revoke.cash (@RevokeCash) December 14, 2023
Ledger actuó rápidamente y, aproximadamente tres horas después del descubrimiento de la brecha, reemplazó la versión maliciosa del archivo por su versión auténtica alrededor de la 1:35 pm UTC.
Reportes y Análisis del Incidente
Matthew Lilley, director técnico de SushiSwap, fue uno de los primeros en informar el problema. Notó que un conector Web3 comúnmente utilizado había sido comprometido, permitiendo la inyección de código malicioso en numerosas DApps. Según el análisis, la biblioteca de Ledger confirmó el compromiso, donde el código vulnerable insertó la dirección de una cuenta de drenaje.
What happened?
In short, @Ledger made a chain of terrible blunders.
1. They are loading JS from a CDN.
2. They are not version locking loaded JS.
3. They had their CDN compromised.I would avoid using ANY dApps until their teams confirm that they have mitigated the attack. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Precauciones para los Usuarios de Ledger
El conector de Ledger es una biblioteca utilizada por muchas DApps y mantenida por Ledger. Aunque la adición de un wallet drainer no implica necesariamente la pérdida automática de activos, sí podría permitir a actores maliciosos el acceso a estos activos a través de solicitudes de billeteras de navegador como MetaMask.
ANY dApp which makes use of LedgerHQ/connect-kit is vulnerable. Don't use ANY dApps until further notice. This isn't a single isolated attack, it's a large-scale attack on multiple dApps. https://t.co/a3brXNQSx9
— I'm Software 🦇🔊 (@MatthewLilley) December 14, 2023
Lilley advirtió a los usuarios evitar las DApps que usan el conector de Ledger y señaló que el «connect-kit» también es vulnerable. Subrayó que no se trata de un ataque aislado, sino de un ataque a gran escala que afecta a múltiples DApps.
Declaraciones de Expertos y Soluciones Propuestas
Hudson Jameson, vicepresidente de Polygon Labs, mencionó que incluso después de que Ledger corrija el código erróneo en su biblioteca, los proyectos que lo usan y lo implementan necesitarán actualizarlo antes de que sea seguro usar las DApps que emplean las bibliotecas Web3 de Ledger.
Ledger Library Exploit Explainer for Average Folks
What is going on with the recent alerts not to use dapps?
A library that is used by many dapps that is maintained by Ledger was compromised and a wallet drainer was added.
What do I do as a normal user?
Do not interact with… https://t.co/exre0QfykD
— Hudson Jameson (@hudsonjameson) December 14, 2023
Ido Ben-Natan, cofundador y CEO de Blockaid, aconsejó a los usuarios de Ledger que no están en riesgo si no realizan transacciones y que no es explotable en aprobaciones previas. Específicamente señaló que Revoke.cash está afectado y recomendó no interactuar con él. Mencionó que el número de fondos impactados asciende a cientos de miles de dólares en las últimas dos horas y que muchos sitios web siguen afectados.
Colaboración para Resolver la Crisis
Ledger trabajó estrechamente con WalletConnect, quien desactivó rápidamente el proyecto fraudulento. La versión auténtica y segura del kit Ledger Connect, versión 1.1.8, ya está disponible para su uso.
Medidas de Seguridad Adicionales
Como medida de seguridad adicional, el equipo de desarrollo del kit de conexión en el proyecto NPM ahora es de solo lectura, lo que significa que no pueden enviar directamente el paquete NPM. Ledger también ha cambiado los secretos de publicación en GitHub. Se insta a los desarrolladores a verificar y utilizar la última versión, 1.1.8.
Agradecimientos y Enfoque en la Seguridad
Ledger agradece a WalletConnect, Tether, Chainalysis, Zachxbt y a toda la comunidad por su ayuda y apoyo rápido para identificar y resolver el ataque. La empresa reafirma su compromiso con la seguridad y subraya que prevalecerá con la ayuda de todo el ecosistema.
Importancia de la Seguridad en el Ecosistema Cripto
Este incidente sirve como un recordatorio crítico sobre la importancia de la seguridad en el ecosistema de las criptomonedas. La rápida respuesta de Ledger y la colaboración de la comunidad cripto demuestran la resiliencia y la capacidad de adaptación frente a amenazas de seguridad.
Sin embargo, también subraya la necesidad continua de vigilancia y precaución por parte de los usuarios al interactuar con DApps y realizar transacciones en criptomonedas. Con el creciente interés y la adopción de las criptomonedas, garantizar la seguridad y la confianza de los usuarios sigue siendo un pilar fundamental para el desarrollo sostenible del ecosistema cripto.
