El fabricante de billeteras de hardware Ledger deshabilitará la firma ciega para las aplicaciones descentralizadas (dapps) de EVM para junio de 2024, después de un exploit en el que se agregó un drenador de billeteras a una biblioteca utilizada por muchos desarrolladores para conectarse a sus dispositivos.
En un tweet, Ledger dijo que alrededor de $ 600,000 en cripto activos fueron robados durante el exploit. Anunció que las víctimas afectadas serían «resarcidas» y que «ya no permitiría la firma ciega con dispositivos Ledger para junio de 2024».
La firma ciega implica la visualización de datos de firma de contratos inteligentes sin procesar que pueden ser analizados por ordenadores, pero que son incomprensibles para un lector humano. Ledger ha defendido anteriormente un enfoque de «lo que ves es lo que firmas», conocido como firma clara, en el que la firma de contratos inteligentes se analiza de forma legible para el ser humano.
En su anuncio, Ledger declaró que su decisión de poner fin a la firma ciega «conduciría a un nuevo estándar para proteger a los usuarios y fomentar la firma clara en todas las DApps», y animó a los desarrolladores de aplicaciones a apoyar la firma clara.
Estamos 100% centrados en el seguimiento del incidente de seguridad de la semana pasada, asegurándonos de que incidentes como este se eviten en el futuro, y que el ecosistema siga siendo seguro.
Estamos al tanto de aproximadamente $600k en activos afectados, robados de usuarios que firmaron a ciegas en DApps de EVM.
Ledger…
– Ledger (@Ledger) 20 de diciembre de 2023
En el exploit de la semana pasada, una versión maliciosa de Ledger Connect Kit, una biblioteca que permite a los dispositivos Ledger conectarse con dapps, fue identificada por desarrolladores en Twitter. La empresa de seguridad web3 BlockAid informó de que «el atacante inyectó una carga útil de drenaje de monedero» en el paquete NPM del kit Ledgerconnect», lo que les permitió drenar los fondos de los usuarios que firmaron en dapps como Sushi.com y Hey.xyz.
El desarrollador de monederos electrónicos MetaMask advirtió a los usuarios que «dejaran de usar dapps» tras conocerse la noticia del ataque.
En un post posterior, Ledger confirmó que el ataque se produjo como resultado de que un antiguo empleado fuera víctima de un ataque de phishing. El atacante fue capaz de obtener acceso a la cuenta NPMJS del ex empleado, un gestor de paquetes de JavaScript, lo que le permitió enviar una versión maliciosa del Ledger Connect Kit. El Connect Kit malicioso redirigía los fondos de los usuarios desde cualquier monedero que se conectara a una aplicación que lo utilizara al monedero del propio hacker.
Ledger declaró que se había implementado una solución 40 minutos después de que los equipos de seguridad de la empresa recibieran la alerta, y ha distribuido una nueva versión del Connect Kit (1.1.8). Los propios dispositivos Ledger y la aplicación Ledger Live de la empresa no se vieron comprometidos por el exploit, añadió.
La firma ya se ha enfrentado anteriormente a críticas sobre su seguridad. En 2020, una base de datos de correo electrónico de clientes de Ledger fue pirateada y más de un millón de correos electrónicos de usuarios se vieron comprometidos, mientras que a principios de este año el servicio de recuperación de Ledger, basado en la identificación voluntaria, fue calificado de «puerta trasera» por los usuarios. El cofundador de Ledger, Éric Larchevêque, describió el lanzamiento del servicio Recover como «un fracaso total de relaciones públicas, pero en absoluto técnico».
