Según CryptoPotato, Ledger, un fabricante de billeteras de hardware, ha anunciado planes para deshabilitar la firma ciega para las aplicaciones descentralizadas (DApps) de la máquina virtual Ethereum (EVM) para junio de 2024. La decisión surge en respuesta a un exploit en el que se agregó un drenaje de billetera a un Biblioteca utilizada por numerosas DApps para conectarse a dispositivos Ledger. La compañía reveló que durante el reciente ataque se robaron aproximadamente $600,000 en criptoactivos y se comprometió a compensar a las víctimas afectadas. Ledger declaró que descontinuaría la práctica de firma ciega con dispositivos Ledger para junio de 2024, con el objetivo de establecer un nuevo estándar para mejorar la protección del usuario y promover la firma clara en aplicaciones descentralizadas.
En el reciente exploit de la semana pasada, los desarrolladores en Twitter identificaron una versión maliciosa del Ledger Connect Kit, una biblioteca que facilita la conexión entre dispositivos Ledger y DApps. Según la firma de seguridad Web3 BlockAid, el atacante inyectó una carga útil que agotó la billetera en el paquete NPM del Ledger Connect Kit, lo que les permitió drenar fondos de los usuarios que iniciaron sesión en DApps como Sushi.com y Hey.xyz. MetaMask, un desarrollador de billeteras de software, advirtió a los usuarios que "dejen de usar DApps" tras la noticia del ataque. Ledger confirmó que el ataque se produjo debido a que un ex empleado fue víctima de un ataque de phishing, lo que le permitió al atacante acceder a la cuenta NPMJS del ex empleado e impulsar una versión maliciosa del Ledger Connect Kit. Este Connect Kit comprometido redirigió los fondos de los usuarios desde cualquier billetera que se conectara a una DApp usándola hacia la billetera del hacker. Ledger respondió rápidamente, implementando una solución 40 minutos después de que sus equipos de seguridad lo alertaran. Se ha lanzado una nueva versión del Connect Kit (1.1.8). El exploit no comprometió los dispositivos Ledger ni la aplicación Ledger Live.
