-
Ledger aconseja esperar 24 horas antes de usar Ledger Connect Kit nuevamente.
-
La nueva versiรณn de la librerรญa "se estรก propagando automรกticamente", informaron.
En la jornada del jueves 14 de diciembre, usuarios, desarrolladores y todos los allegados a cualquier aplicaciรณn descentralizada (dApp) recibieron una seรฑal de alarma. Se debรญa a que la librerรญa Ledger Connect Kit, ampliamente utilizada en este contexto, fue vรญctima de un ataque de ciberseguridad.
Luego de varias horas de preocupaciรณn, e incluso tras la confirmaciรณn oficial de la brecha de seguridad por parte de Ledger, parece haber llegado la calma. La compaรฑรญa, que fabrica tambiรฉn hardware wallets โque no estuvieron en riesgo en este casoโ, comunicรณ que ya reemplazรณ la librerรญa maliciosa por una versiรณn autรฉntica, la cual ยซse estรก propagando automรกticamenteยป. De todos modos, Ledger recomienda no usar Ledger Connect Kit por al menos 24 horas.
La raรญz de todo el problema fue que un empleado de Ledger sufriรณ un ataque de phishing mediante el cual se filtrรณ su acceso a su cuenta NPM (Node Package Manager). NPM es un sistema de gestiรณn de paquetes para Node.js, una plataforma de desarrollo de aplicaciones JavaScript. Una cuenta en esa plataforma permite a los desarrolladores publicar, administrar y compartir sus paquetes de software con la comunidad.
Asรญ, el hacker publicรณ una versiรณn maliciosa de Ledger Connect Kit en sus versiones 1.1.4, 1.1.5 y 1.1.6. Usรณ ademรกs una versiรณn corrupta de Wallet Connect para dirigir a una wallet propia los fondos de los usuarios que interactuaban con Ledger Connect Kit en dApps y DeFi.
Segรบn explicaron fuentes con experticia en la temรกtica, y como reportรณ CriptoNoticias, la vulnerabilidad en las versiones mencionadas de Ledger Connect Kit daba la posibilidad de introducir cรณdigo malicioso en el frontend de una dApp. En otras palabras, el atacante podรญa hacer que los usuarios interactuaran con una interfaz alterada sin que se dieran cuenta.
Ledger dice haber solucionado la brecha de seguridad en menos de 40 minutos. Sin embargo, la vulnerabilidad estuvo activa por un periodo cercano a las 5 horas, con una ventana de dos horas aproximadamente en la que se pudieron haber robado fondos de los usuarios.
En este sentido, la empresa dice estar en comunicaciรณn con los clientes cuyos fondos podrรญan haber sido afectados y ยซtrabajando de manera proactivaยป para ayudar a esas personas. Ademรกs, Ledger comunicรณ que estรก ยซpresentando una denuncia y colaborando con las autoridades policiales en la investigaciรณn para identificar al atacanteยป.
La compaรฑรญa instรณ a los desarrolladores a comprobar si estรกn usando la รบltima versiรณn de Ledger Connect Kit, la v. 1.1.8. Asimismo, todavรญa hay medidas de seguridad adicionales que se deben tomar para estar a salvo. Al respecto, el desarrollador Mudit Gupta, jefe de seguridad informรกtica en Polygon Labs, recomendรณ revisar la memoria cachรฉ en busca del cรณdigo alterado.
ยซPara asegurarte de que no tengas la biblioteca maliciosa almacenada en cachรฉ, ve a https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 y asegรบrate de que la versiรณn sea 1.1.8. Si no es asรญ, borra tu cachรฉยป, escribiรณ en la red social X (antes Twitter).
Al finalizar su comunicado, Ledger agradeciรณ la colaboraciรณn de otras empresas, como Chainalysis, que ayudรณ a identificar la supuesta wallet del atacante, y a Tether, que congelรณ los fondos en USDT en esa direcciรณn. La participaciรณn de Wallet Connect, que rรกpidamente deshabilitรณ la versiรณn corrupta de su software que usรณ el atacante, tambiรฉn es destacada en el comunicado.