-
Expertos recomiendan no usar ninguna aplicación descentralizada hasta nuevo aviso.
-
Zapper y SushiSwap fueron comprometidos, según reportes de usuarios.
Los usuarios de cualquier aplicación descentralizada (dApp) podrÃan estar en peligro, según expertos en ciberseguridad. Se debe a que Ledger Connect Kit, una librerÃa ampliamente utilizada en la denominada web3 para configurar aplicaciones, se ha visto comprometido por un ataque que permitirÃa la inyección de código malicioso.
A raÃz de este descubrimiento, muchos especialistas están alertando a los usuarios sobre no usar dApps ni protocolos de finanzas descentralizadas (DeFi) hasta nuevo aviso. Uno de los primeros en remarcar el peligro fue Matthew Lilley, jefe de tecnologÃa en SushiSwap, uno de los protocolos que habrÃan sido afectados. Otros reconocidos desarrolladores, como Hudson Jameson, confirmaron el hecho.
Según la cuenta PeckShield Alerts en X (antes Twitter), Zapper también estarÃa comprometida por la vulnerabilidad descubierta. En tanto, la dApp de Revoke Cash se encuentra fuera de lÃnea hasta que se solucione el problema, según informó su equipo de desarrolladores.
Ledger HQ/connect-kit es una librerÃa utilizada por numerosos frontend en dApps y protocolos DeFi. En el desarrollo de software, el término «frontend» se refiere a la parte de una aplicación que interactúa directamente con los usuarios. Es la interfaz de usuario, la capa visible y accesible que se ve y con la que se interactúa. El frontend se encarga de presentar la información de manera gráfica y facilita la interacción del usuario con la aplicación.
Cabe destacar que, pese a que el código afectado es desarrollado por Ledger, no solo los usuarios de las wallets de esta empresa corren riesgos, sino cualquier persona que interactúe con una aplicación descentralizada que usen esa librerÃa para desarrollar sus frontends.
De acuerdo con detalles provistos por Lilley, el problema radica en que la cuenta de CDN desde la cual Ledger Connect Kit carga su JavaScript ha sido comprometida, «lo que está inyectando JavaScript malicioso en varias aplicaciones descentralizadas». Una CDN (Content Delivery Network o «red de distribución de contenido») es una red de servidores distribuidos geográficamente que almacenan copias de archivos, como imágenes, videos, scripts y otros recursos estáticos, con el objetivo de entregar esos contenidos de manera más rápida y eficiente a los usuarios finales.
La empresa de ciberseguridad BlockAid informó que todas las versiones de Ledger Connect Kit inferiores a la 1.1.4 están afectadas por el ataque.
Poco tiempo después de divulgarse la información, Ledger confirmó el problema mediante un comunicado. «Identificamos y removimos una versión maliciosa de Ledger Connect Kit. Una versión auténtica se está cargando para reemplazar a la maliciosa. No interactúes con ninguna dApp por el momento», escribieron. Además, afirman que las hardware wallets Ledger y su aplicación Ledger Live no están afectadas por la vulnerabilidad.
Por su parte, el jefe de seguridad informática de Polygon Labs, Mudit Gupta, afirmó que la vulnerabilidad ya fue solucionada y dio instrucciones para controlar que el código malicioso no haya quedado guardado en la memoria caché. «Para asegurarte de que no tengas la biblioteca maliciosa almacenada en caché, ve a https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 y asegúrate de que la versión sea 1.1.8. Si no es asÃ, borra tu caché», escribió.
