Actualmente se está produciendo un ataque a gran escala que podría afectar potencialmente a todas las aplicaciones descentralizadas (dApps) que incorporen el kit connect de Ledger. Actualmente se recomienda NO visitar ningún sitio web que ofrezca la funcionalidad de conexión de monederos Web3
DTD 15:18: La actualización de Ledger se está desplegando, según la firma. Ledger también dijo que se publicará un «informe completo» tan pronto como esté listo.
ACTUALIZACIÓN 15:06: Banteg ha publicado un mensaje en el que afirma que Ledger ha implementado una actualización y que el código malicioso ha sido eliminado. Sin embargo, se sigue recomendando no interactuar con ninguna aplicación que permita la conexión de Wallet, ya que la propagación puede llevar algún tiempo.
ACTUALIZACIÓN 15:03: Según Igor Igamberdiev, el código malicioso se implementó esta mañana sobre las 8.44, por lo que es probable (aunque no seguro) que los monederos potencialmente en riesgo sean aquellos que interactuaron con el Connect Kit de Ledger después de esa hora.
ACTUALIZACIÓN 14:57: Según el investigador de la cadena ZachXBT, ya se han robado más de 610.000 dólares a través del fallo. Según los datos de Arkham Intelligence, se cree que la dirección citada por ZachXBT ha enviado fondos a Angel Drainer, cuya cartera asciende a más de 1 millón de dólares.
Un gran ataque está en marcha
Podría tratarse de uno de los mayores ataques que han tenido lugar en el ecosistema Web3: al parecer, todas las aplicaciones descentralizadas (dApps) que incorporan la herramienta de conexión Ledger están infectadas y su código ha sido sustituido por una función de drenaje.
La falla fue reportada primero por el protocolo Sushi, que sacó su sitio fuera de línea por razones de seguridad, y que nos informa que el problema se originó con Ledger:
Alerta de seguridad urgente
Hemos identificado un problema crítico el conector ledger ha sido comprometido, permitiendo potencialmente la inyección de código malicioso que afecta a varias dApps.
Si tienes la página de Sushi abierta y ves una ventana emergente inesperada de ‘Conectar Cartera’, NO… https://t.co/alGVbnPfHW
– Sushi.com (@SushiSwap) 14 de diciembre de 2023
Matthew Lilley, CTO de Sushi, ha declarado que, efectivamente, el fallo se originó en Ledger, y más concretamente en su Connect Kit, encargado de gestionar la interacción con las aplicaciones descentralizadas. La lista de aplicaciones potencialmente afectadas puede consultarse aquí. Estas son todas las aplicaciones que integran esta funcionalidad de Ledger
Cualquier dApp que haga uso de LedgerHQ/connect-kit es vulnerable. No utilices NINGUNA dApp hasta nuevo aviso. No es un ataque aislado, es un ataque a gran escala a múltiples dApps. https://t.co/a3brXNQSx9
– Soy Software (@MatthewLilley) 14 de diciembre de 2023
Este ataque es tanto más artero cuanto que también ha infectado a sitios que permiten revocar las autorizaciones concedidas a contratos inteligentes, como Revoke.Cash, que también ha desconectado su sitio para mitigar las posibles pérdidas de sus usuarios. Revoke.Cash recomienda NO utilizar ningún sitio que se conecte a un monedero Web3.
Para su información, aquí tiene una vista previa de la ventana que contiene el código malicioso:
Un ejemplo del código desplegado (la ventana aparece sobre la conexión real): https://t.co/7J34ArOTLR
– OAK (@oak_en) 14 de diciembre de 2023
Ledger emitió un comunicado sobre X sin facilitar información adicional:
Hemos identificado y eliminado una versión maliciosa del Ledger Connect Kit.
Una versión genuina está siendo empujado para reemplazar el archivo malicioso ahora. No interactúes con ninguna dApp por el momento. Te mantendremos informado a medida que evolucione la situación.
Tu dispositivo Ledger y…
– Ledger (@Ledger) 14 de diciembre de 2023
