Ante el exploit de Ledger usuarios cuestionan el sistema de seguridad de las dApps

Tras conocerse que la librería Connect Kit de Ledger, ampliamente utilizada para el desarrollo de aplicaciones descentralizadas (dApps), fue víctima de un ataque de ciberseguridad, miembros de la comunidad de criptomonedas se han pronunciado dando su punto de vista sobre las implicaciones del caso. 

Entre los pronunciamientos se halla el publicado en el blog Agenda IA, en el cual se advierte que la situación de riesgo que se presentó este 14 de diciembre sirve como un claro recordatorio de la importancia de la ciberseguridad, sobre todo en el ámbito de las aplicaciones descentralizadas. 

Al respecto, el equipo de la wallet Nunchuk llama la atención sobre el hecho de que muchos proyectos que respaldan a las llamadas shitcoins están expuestos a ataques masivos. Consideran además que depender del lenguaje de programación Javascript crea «un infierno de seguridad, incluso para proyectos relacionados con bitcoin». 

Se comenta asimismo que el exploit de Ledger pone en relieve la naturaleza frágil de las aplicaciones descentralizadas. Esto, porque los protocolos utilizan códigos de varios proveedores de software, entre los cuales está Ledger. «En ese proceso existen numerosos puntos de fallo a lo largo de la cadena de suministro que al final terminan afectando a los usuarios», recalca Agenda IA. 

Adicionalmente, el usuario identificado en X como @knowcryptoshow, considera que  Ledger también se enfrenta a un problema interno grave con sus procedimientos operativos estándar. Esto, tomando en cuenta que el código malicioso que afectó a la librería se introdujo cuando hackearon a un empleado de la compañía.  

«La configuración actual de la empresa, que permite que un solo empleado apruebe cambios de código de forma independiente, no sólo es arriesgada; es negligente», agregó @knowcryptoshow en la red social. «Esta falta de supervisión y control adecuados en el proceso de aprobación del código provocó una importante brecha de seguridad», añadió.  

Aconseja, por tanto, la implementación de un sistema en el que se requieran múltiples aprobaciones para todos los cambios de código. Un protocolo que reduce significativamente el riesgo de que se inserten códigos no autorizados o dañinos tal como ocurrió en esta ocasión. 

Al respecto, Agenda IA recuerda que, aunque la situación de riesgo aparentemente está resuelta luego del anuncio de la empresa sobre el reemplazo de la librería, todos proyectos vinculados a Ledger «deberán actualizar e implementar la versión corregida de la biblioteca para garantizar la seguridad de sus DApps».  

Explica que este proceso puede llevar tiempo. De ahí que se recomiende abstenerse de interactuar con cualquier frontend, la parte de una aplicación que interactúa directamente con los usuarios en dApps y protocolos DeFi, por el momento.  

«Esta medida de precaución es esencial porque la situación actual sigue siendo impredecible», acotan desde Agenda IA. Después será necesario verificar que las aplicaciones que se utilizan han completado esta actualización antes de reanudar sus actividades habituales. 

Sobre ello, Ido Ben-Natan, cofundador y CEO de Blockaid, comentó que los usuarios de Ledger no corren ningún riesgo si no realizan transacciones. Aseguró que la cantidad de fondos robados es de cientos de miles de dólares en unas cuatro horas. Muchos sitios web y usuarios aún siguen afectados. 

La advertencia aplica a cualquier persona que interactúe con una aplicación descentralizada que use la librería de Ledger para desarrollar sus frontends. 

Cabe recordar que Ledger HQ/connect-kit es una librería utilizada por numerosos frontend de aplicaciones descentralizadas, entre las cuales destacan Zapper, SushiSwap, Phantom, Balancer y Revoke.cash.