-
Expertos recomiendan no usar ninguna aplicación descentralizada hasta nuevo aviso.
-
Zapper y SushiSwap fueron comprometidos, según reportes de usuarios.
Los usuarios de cualquier aplicación descentralizada (dApp) podrían estar en peligro, según expertos en ciberseguridad. Se debe a que Ledger Connect Kit, una librería ampliamente utilizada en la denominada web3 para configurar aplicaciones, se ha visto comprometido por un ataque que permitiría la inyección de código malicioso.
A raíz de este descubrimiento, muchos especialistas están alertando a los usuarios sobre no usar dApps ni protocolos de finanzas descentralizadas (DeFi) hasta nuevo aviso. Uno de los primeros en remarcar el peligro fue Matthew Lilley, jefe de tecnología en SushiSwap, uno de los protocolos que habrían sido afectados. Otros reconocidos desarrolladores, como Hudson Jameson, confirmaron el hecho.
Según la cuenta PeckShield Alerts en X (antes Twitter), Zapper también estaría comprometida por la vulnerabilidad descubierta. En tanto, la dApp de Revoke Cash se encuentra fuera de línea hasta que se solucione el problema, según informó su equipo de desarrolladores.
Ledger HQ/connect-kit es una librería utilizada por numerosos frontend en dApps y protocolos DeFi. En el desarrollo de software, el término «frontend» se refiere a la parte de una aplicación que interactúa directamente con los usuarios. Es la interfaz de usuario, la capa visible y accesible que se ve y con la que se interactúa. El frontend se encarga de presentar la información de manera gráfica y facilita la interacción del usuario con la aplicación.
Cabe destacar que, pese a que el código afectado es desarrollado por Ledger, no solo los usuarios de las wallets de esta empresa corren riesgos, sino cualquier persona que interactúe con una aplicación descentralizada que usen esa librería para desarrollar sus frontends.
De acuerdo con detalles provistos por Lilley, el problema radica en que la cuenta de CDN desde la cual Ledger Connect Kit carga su JavaScript ha sido comprometida, «lo que está inyectando JavaScript malicioso en varias aplicaciones descentralizadas». Una CDN (Content Delivery Network o «red de distribución de contenido») es una red de servidores distribuidos geográficamente que almacenan copias de archivos, como imágenes, videos, scripts y otros recursos estáticos, con el objetivo de entregar esos contenidos de manera más rápida y eficiente a los usuarios finales.
La empresa de ciberseguridad BlockAid informó que todas las versiones de Ledger Connect Kit inferiores a la 1.1.4 están afectadas por el ataque.
Poco tiempo después de divulgarse la información, Ledger confirmó el problema mediante un comunicado. «Identificamos y removimos una versión maliciosa de Ledger Connect Kit. Una versión auténtica se está cargando para reemplazar a la maliciosa. No interactúes con ninguna dApp por el momento», escribieron. Además, afirman que las hardware wallets Ledger y su aplicación Ledger Live no están afectadas por la vulnerabilidad.
Por su parte, el jefe de seguridad informática de Polygon Labs, Mudit Gupta, afirmó que la vulnerabilidad ya fue solucionada y dio instrucciones para controlar que el código malicioso no haya quedado guardado en la memoria caché. «Para asegurarte de que no tengas la biblioteca maliciosa almacenada en caché, ve a https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 y asegúrate de que la versión sea 1.1.8. Si no es así, borra tu caché», escribió.