-
Ledger tambiรฉn se enfrenta a un problema interno grave con sus procedimientos operativos.
-
Se insta a la empresa a implementar nuevos protocolos de seguridad.
Tras conocerse que la librerรญa Connect Kit de Ledger, ampliamente utilizada para el desarrollo de aplicaciones descentralizadas (dApps), fue vรญctima de un ataque de ciberseguridad, miembros de la comunidad de criptomonedas se han pronunciado dando su punto de vista sobre las implicaciones del caso.
Entre los pronunciamientos se halla el publicado en el blog Agenda IA, en el cual se advierte que la situaciรณn de riesgo que se presentรณ este 14 de diciembre sirve como un claro recordatorio de la importancia de la ciberseguridad, sobre todo en el รกmbito de las aplicaciones descentralizadas.
Al respecto, el equipo de la wallet Nunchuk llama la atenciรณn sobre el hecho de que muchos proyectos que respaldan a las llamadas shitcoins estรกn expuestos a ataques masivos. Consideran ademรกs que depender del lenguaje de programaciรณn Javascript crea ยซun infierno de seguridad, incluso para proyectos relacionados con bitcoinยป.
Se comenta asimismo que el exploit de Ledger pone en relieve la naturaleza frรกgil de las aplicaciones descentralizadas. Esto, porque los protocolos utilizan cรณdigos de varios proveedores de software, entre los cuales estรก Ledger. ยซEn ese proceso existen numerosos puntos de fallo a lo largo de la cadena de suministro que al final terminan afectando a los usuariosยป, recalca Agenda IA.
Adicionalmente, el usuario identificado en X como @knowcryptoshow, considera que Ledger tambiรฉn se enfrenta a un problema interno grave con sus procedimientos operativos estรกndar. Esto, tomando en cuenta que el cรณdigo malicioso que afectรณ a la librerรญa se introdujo cuando hackearon a un empleado de la compaรฑรญa.
ยซLa configuraciรณn actual de la empresa, que permite que un solo empleado apruebe cambios de cรณdigo de forma independiente, no sรณlo es arriesgada; es negligenteยป, agregรณ @knowcryptoshow en la red social. ยซEsta falta de supervisiรณn y control adecuados en el proceso de aprobaciรณn del cรณdigo provocรณ una importante brecha de seguridadยป, aรฑadiรณ.
Aconseja, por tanto, la implementaciรณn de un sistema en el que se requieran mรบltiples aprobaciones para todos los cambios de cรณdigo. Un protocolo que reduce significativamente el riesgo de que se inserten cรณdigos no autorizados o daรฑinos tal como ocurriรณ en esta ocasiรณn.
Al respecto, Agenda IA recuerda que, aunque la situaciรณn de riesgo aparentemente estรก resuelta luego del anuncio de la empresa sobre el reemplazo de la librerรญa, todos proyectos vinculados a Ledger ยซdeberรกn actualizar e implementar la versiรณn corregida de la biblioteca para garantizar la seguridad de sus DAppsยป.
Explica que este proceso puede llevar tiempo. De ahรญ que se recomiende abstenerse de interactuar con cualquier frontend, la parte de una aplicaciรณn que interactรบa directamente con los usuarios en dApps y protocolos DeFi, por el momento.
ยซEsta medida de precauciรณn es esencial porque la situaciรณn actual sigue siendo impredecibleยป, acotan desde Agenda IA.ย Despuรฉs serรก necesario verificarย que las aplicaciones que se utilizan han completado esta actualizaciรณn antes de reanudar sus actividades habituales.ย
Sobre ello, Ido Ben-Natan, cofundador y CEO de Blockaid, comentรณ que los usuarios de Ledger no corren ningรบn riesgo si no realizan transacciones. Asegurรณ que la cantidad de fondos robados es de cientos de miles de dรณlares en unas cuatro horas. Muchos sitios web y usuarios aรบn siguen afectados.
La advertencia aplica a cualquier persona que interactรบe con una aplicaciรณn descentralizada que use la librerรญa de Ledger para desarrollar sus frontends.
Cabe recordar que Ledger HQ/connect-kit es una librerรญa utilizada por numerosos frontend de aplicaciones descentralizadas, entre las cuales destacan Zapper, SushiSwap, Phantom, Balancer y Revoke.cash.
