Aunque un hack a gran escala dirigido a las dependencias criptográficas de JavaScript podría haber causado graves daños, este ha fracasado. En total, apenas se han robado 500 dólares.
Fracasa el hackeo dirigido a las dependencias criptográficas de JavaScript
El lunes por la noche alertamos sobre una vulnerabilidad con un potencial de daño muy importante, ya que un ataque a gran escala podría haber puesto en peligro muchas carteras criptográficas. En resumen, el ataque se dirigía a la cuenta de un desarrollador en el gestor de paquetes JavaScript NPM. Dado que dicho desarrollador cuenta con un gran número de seguidores, se habrían realizado más de mil millones de descargas de programas fraudulentos, lo que, en teoría, habría dado a los atacantes la posibilidad de desviar fondos falsificando direcciones en las aplicaciones que utilizan dichos paquetes.
A pesar de todo, este caso ha causado más miedo que daño, ya que, en total, los datos de Arkham revelan que solo se habrían robado 500 dólares:
En X, Charles Guillemet, director técnico de Ledger, explica que los errores del atacante permitieron detectar rápidamente la maniobra. Sin embargo, advierte sobre este tipo de amenazas, que no deben tomarse a la ligera:
No obstante, esto es un claro recordatorio: si sus fondos están almacenados en una cartera de software o en una plataforma de intercambio, una sola ejecución de código le separa de una pérdida total. Las vulnerabilidades de la cadena de suministro siguen siendo un potente vector de difusión de software malicioso, y también estamos asistiendo a la aparición de ataques más específicos. Las carteras de hardware están diseñadas para resistir estas amenazas. Funciones como la firma clara le permiten confirmar con precisión lo que está sucediendo, y las verificaciones de transacciones señalan las actividades sospechosas antes de que sea demasiado tarde. Puede que el peligro inmediato haya pasado, pero la amenaza sigue ahí.
Por su parte, varios desarrolladores de carteras han afirmado que sus aplicaciones siguen siendo seguras, entre ellos MetaMask y OKX Wallet.
