El fabricante de billeteras de hardware Ledger ha advertido a los usuarios que no se conecten a aplicaciones descentralizadas (dapps), después de que se identificara una versión maliciosa del Ledger Connect Kit.
Un portavoz de Ledger dijo a TCN que «hemos identificado y eliminado una versión maliciosa del Ledger Connect Kit. Una versión genuina está siendo empujada para reemplazar el archivo malicioso ahora. No interactúes con ninguna dApp por el momento». El portavoz agregó que los dispositivos Ledger y su aplicación Ledger Live no se vieron comprometidos, y que la firma «mantendrá informados a los usuarios a medida que evolucione la situación.»
El desarrollador de monederos electrónicos MetaMask también advirtió a los usuarios que «dejaran de usar dapps» cuando se conoció la noticia del ataque.
La versión comprometida del Connect Kit, una biblioteca que permite a la billetera de hardware Ledger conectarse con dapps, fue identificada por primera vez por los desarrolladores que publicaron en Twitter.
Hemos identificado y eliminado una versión maliciosa de Ledger Connect Kit.
Una versión genuina está siendo empujado para reemplazar el archivo malicioso ahora. No interactúes con ninguna dApp por el momento. Te mantendremos informado a medida que evolucione la situación.
Tu dispositivo Ledger y…
– Ledger (@Ledger) 14 de diciembre de 2023
La empresa de seguridad web3 BlockAid informó de que «el atacante inyectó una carga útil de vaciado de monedero» en el paquete NPM del kit ledgerconnect, añadiendo que las dapps que utilizaban las versiones 1.1.4 y superiores del connect-kit de Ledger, incluyendo Sushi.com y Hey.xyz, se vieron afectadas.
Hemos detectado un potencial ataque a la cadena de suministro en el kit de ledgerconnect
El atacante inyectó una carga útil de drenaje de billetera en el popular paquete NPM.
Esto afecta actualmente a un par de dapps populares, incluyendo pero no limitado a https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) 14 de diciembre de 2023
El CTO de SushiSwap, Matthew Lilley, fustigó a Ledger por una «cadena de terribles errores», explicando que «un conector web3 de uso común se ha visto comprometido, lo que permite la inyección de código malicioso que afecta a numerosas dApps.»
Añadió que los usuarios deben evitar el uso de cualquier dapps «hasta que sus equipos confirmen que han mitigado el ataque.»
Ethereum core developer liaison Hudson Jameson explicó que, «Una librería que es usada por muchas dapps que es mantenida por Ledger fue comprometida y un wallet drainer fue agregado.» Reiterando que, «es arriesgado usar dapps actualmente si no entiendes qué bibliotecas backend usan», Jameson agregó que, «Incluso después de que Ledger corrija el código malo en su biblioteca, los proyectos que usan y despliegan esa biblioteca necesitarán actualizar las cosas antes de que sea seguro usar dapps que usan las bibliotecas web3 de Ledger.»
Ledger se ha enfrentado a críticas sobre su seguridad en los últimos meses, con el servicio voluntario Recover basado en ID de la firma provocando la ira de los usuarios de criptomonedas.
El servicio, que no está relacionado con el ataque de hoy, divide la frase semilla del usuario y la almacena con tres custodios distintos, exigiendo al usuario que proporcione su pasaporte o documento nacional de identidad como identificación. Éric Larchevêque, cofundador de Ledger, calificó el lanzamiento del servicio de «fracaso total de las relaciones públicas, pero en absoluto técnico».
En noviembre, una aplicación fraudulenta de Ledger en la App Store de Microsoft sustrajo casi un millón de dólares a clientes desprevenidos, mientras que en 2020 la empresa se enfrentó a críticas después de que una base de datos de correo electrónico de clientes fuera pirateada, con más de un millón de correos electrónicos de usuarios comprometidos.
