Ledger, el buque insignia francés de las carteras de hardware criptográfico, está en crisis. Se descubrió una falla preocupante en el código de su sistema para conectarse a las finanzas descentralizadas (DeFi), lo que plantea serios desafíos de seguridad para la empresa y sus usuarios.

De vuelta al truco

El Connect Kit de Ledger, utilizado para integrar aplicaciones descentralizadas (dapps) con los productos Ledger, fue el objetivo de un ataque de piratería. El incidente fue informado inicialmente por Matthew Lilley, CTO de Sushi, quien advirtió a los usuarios sobre el compromiso del conector de billetera. Esta falla permitió la inyección de código malicioso que afectaba a muchas dapps. El ataque activó una ventana emergente que invitaba a los usuarios a conectar su billetera, activando un mecanismo de desvío de tokens.

ALERTA ROJA:

No interactúe con NINGUNA dApp hasta nuevo aviso. Parece que un conector web3 de uso común se ha visto comprometido, lo que permite la inyección de código malicioso que afecta a numerosas dApps.

- Soy software (@MatthewLilley) 14 de diciembre de 2023

La falla de seguridad en el Connect Kit de Ledger afectó a protocolos DeFi clave como Zapper, SushiSwap, Phantom, Balancer y Revoke.cash, con posibles implicaciones para otros sistemas similares. Según Lookonchain, una plataforma de análisis blockchain, el hacker detrás del ataque robó al menos 4.334 Ether (ETH), equivalente a casi 484.000 dólares.

Un hacker atacó a#Ledgery robó ~484.000 dólares en activos.#LedgerExploitertransfirió 4.334 $ETH a #AngelDrainer.

Y#AngelDrainertambién está recibiendo activos actualmente y posee activos por valor de 363.000 dólares. https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE

- Lookonchain (@lookonchain) 14 de diciembre de 2023

A raíz de esta brecha de seguridad, MetaMask, un competidor del unicornio francés, también se vio afectado. Consciente de la urgencia, MetaMask reaccionó rápidamente implementando una actualización crítica para su plataforma. Sus técnicos aseguraron que los usuarios equipados con la última versión, v2.121.0, deberían poder reanudar sus transacciones de forma segura, ya que la actualización se realiza automáticamente.

Ledger no tardó en reaccionar

Dos horas después del descubrimiento de la falla de seguridad, Ledger actuó rápidamente reemplazando la versión comprometida de su conector con una actualización segura. Al mismo tiempo, la empresa alertó a sus usuarios sobre la importancia de verificar la información mostrada durante las transacciones. Insistieron en que el dato confiable es el que aparece en la pantalla del dispositivo Ledger. La compañía también recomendó a los usuarios que estén atentos y detengan cualquier transacción si la información que se muestra en su clave difiere de la de otras pantallas.

Más miedo que daño: Tether, a través de su líder Paolo Ardoino, anunció que había congelado la dirección del explotador.

Tether acaba de congelar la dirección del explotador de Ledger

- Paolo Ardoino (@paoloardoino) 14 de diciembre de 2023

Moraleja de la historia: incluso el roble más fuerte se dobla con el viento.