Tras el hackeo que afectó a su Connect Kit, Ledger se ha comprometido a que las víctimas serán compensadas a finales de febrero de 2024. Un repaso a las medidas adoptadas
Ledger promete ayuda a las víctimas del pirateo del 14 de diciembre
La semana pasada, el Connect Kit de Ledger fue pirateado, lo que provocó pérdidas de aproximadamente 600.000 dólares a los usuarios que firmaron autorizaciones fraudulentas.
Poco después del incidente, el CEO de la compañía, Pascal Gauthier, prometió que Ledger dedicaría «tantos recursos internos y externos como fuera posible para ayudar a los afectados a recuperar sus activos».
El miércoles, el fabricante de monederos de hardware reiteró esta promesa:
Estamos centrados al 100% en el seguimiento del incidente de seguridad de la semana pasada, asegurándonos de que incidentes como este se eviten en el futuro y de que el ecosistema siga siendo seguro.
Estamos al tanto de aproximadamente $600k en activos afectados, robados de usuarios que firmaron a ciegas en DApps de EVM.
Ledger…
– Ledger (@Ledger) 20 de diciembre de 2023
Como breve recordatorio, el hacker consiguió introducir código malicioso en una biblioteca JavaScript del Ledger Connect Kit, lo que le permitió drenar fondos de las víctimas que interactuaban con aplicaciones financieras descentralizadas (DeFi).
Como resultado, Ledger se ha comprometido a garantizar que las víctimas, sean o no clientes de la compañía, recuperen los fondos robados de una forma u otra antes de finales de febrero del próximo año:
«Nos comprometemos, por todos los medios posibles, incluidos los gestos de buena voluntad, a garantizar que esto se haga antes de finales de febrero de 2024. Ya estamos en contacto con muchos usuarios afectados y estamos trabajando activamente con ellos en los detalles. «
Firmas sin cifrar en todos los ámbitos para junio
Uno de los elementos que podrían haber frenado la fuga de fondos es la firma inequívoca. Sin embargo, la firma ciega sigue estando demasiado extendida en el ecosistema DeFi, lo que significa que no es posible saber exactamente qué implica una transacción que ha sido autorizada.
Esto facilita que se produzcan incidentes de seguridad como este. Por ejemplo, un pirata informático puede llevar a cabo un ataque front-end contra una aplicación descentralizada (DApp) de forma más eficaz, de modo que sus usuarios firmen una transacción dando derechos a un contrato inteligente fraudulento en lugar de al de la DApp.
Con la firma ciega, es más difícil identificar estos intentos de secuestro. Por ello, Ledger anuncia que esto ya no será posible con sus dispositivos en junio de 2024.
Para lograrlo, la compañía está invitando a los desarrolladores a integrar su función «Clear Signing» en sus aplicaciones:
La única contramedida infalible contra este tipo de ataques es comprobar siempre lo que estás consintiendo en tu dispositivo. Esto sólo es posible con Clear Signing: lo que significa que puedes ver y verificar exactamente lo que estás firmando en una pantalla segura. Si el ecosistema sigue permitiendo la firma ciega, los usuarios siguen estando en peligro. Instamos a los desarrolladores de DApp a apoyar el ladrillo de seguridad Clear Signing. «
Además, la compañía está pidiendo a las personas que concedieron permisos a DApps afectados el 14 de diciembre que revoquen esos permisos. Esto puede hacerse utilizando servicios como Revoke.cash.
Además, se ha creado una página de ayuda para las víctimas y Ledger también está advirtiendo contra los intentos de phishing, señalando que en X, sus dos cuentas oficiales son @ledger y @ledger_support.
