-
Muchos usuarios, no solo de la wallet Ledger, sufrieron pérdidas al usar dApps.
-
Ledger también trabajará con desarrolladores para fomentar un sistema de firmas más transparente.
Ledger, reconocida fabricante de hardware wallets que también produce software para la gestión y el uso de criptomonedas, está comunicando las primeras reacciones ante un ataque cibernético que resultó en el robo de alrededor de USD 600.000 en criptomonedas a usuarios de aplicaciones descentralizadas (dApps). Fue a partir de una vulnerabilidad en Ledger Connect Kit, librería de código que muchas dApps usan y que permitió a los atacantes sustraer fondos de usuarios que interactuaron con ellas.
El CEO de Ledger, Pascal Gauthier, expresó que las víctimas del ataque tendrán la asistencia de la empresa, que pondrá «todos sus recursos internos y externos» a disposición para recompensarlas.
Este compromiso, ratificado por Ledger en un comunicado oficial, incluye no solo a los clientes de la compañía, sino también a usuarios de otras wallets que se vieron afectados por interactuar con Ledger Connect Kit, un frontend que numerosas dApps usan para proveer su interfaz de usuario. La firma espera haber avanzado en esta asistencia para febrero de 2024.
Desde el mismo 14 de diciembre, día en el que se alertó a los usuarios de dApps sobre los riesgos existentes, Ledger dice estar en comunicación activa con las víctimas. Una de las medidas recomendadas por sus especialistas es la de revocar cualquier permiso firmado en alguna de las dApps afectadas.
Por otro lado, tanto Ledger como Gauthier promueven medidas preventivas a futuro. Ante la amenaza continua de ataques a frontends, Ledger anunció una medida importante: a partir de junio de 2024, los usuarios ya no podrán realizar Blind Signing («firmas ciegas») con dispositivos Ledger. En el mismo mensaje, la empresa se compromete a trabajar activamente con el ecosistema de dApps para implementar Clear Signing («firmas claras»). El cambio en el modelo de firmas permitiría a los usuarios verificar de forma clara y precisa qué está firmando y aprobando al interactuar con una aplicación.
Antes de concluir el comunicado, Ledger hace un llamado a los desarrolladores de dApps para respaldar Clear Signing. La empresa destaca la necesidad de establecer un nuevo estándar que proteja a los usuarios y fomente la transparencia en las transacciones. Asimismo, reitera que, a pesar del incidente, los dispositivos Ledger y Ledger Live siguen siendo seguros.
La gran responsabilidad de Ledger en el caso
Cabe destacar, pese a todo, que el fallo con Ledger Connect Kit fue más profundo y no se limita a un modelo de firmas ineficiente. En este caso, no solo se trató de la introducción de código malicioso para que los usuarios aprueben transacciones falsas (pensando que interactuaban con la dApp original), sino que todo se dio a partir de un conjunto de códigos ampliamente usados en el ecosistema.
La raíz del ataque estuvo en la filtración de un acceso de Ledger a NPM (Node Package Manager), como se reportó en CriptoNoticias. Básicamente, es una plataforma para publicar y compartir librerías de código. ¿Cómo perdió Ledger uno de sus accesos? Por no desactivar las credenciales de un exempleado de la compañía, según admitió la propia empresa.
Por lo tanto, aunque la iniciativa de Ledger para optimizar el sistema de firmas no es suficiente, aunque sea necesaria. Queda en evidencia que las propias empresas todavía tienen cosas para pulir en materia de seguridad para cuidar las criptomonedas y los datos de sus clientes.
