Cuando compras a través de enlaces de afiliados en nuestra web, es posible que obtengamos una comisión sin coste adicional para ti. Aprende 
Hoy podría ser un buen día para mantenerse alejado de las finanzas descentralizadas (DeFi).
En un reciente incidente de ciberseguridad que ha conmocionado al ecosistema de las aplicaciones descentralizadas (dApp), se ha descubierto un exploit crítico en la biblioteca Ledger ConnectKit, que pone en peligro múltiples dApp.
La brecha de seguridad tiene su origen en una biblioteca de software comprometida conectada a Ledger, un conocido proveedor de monederos electrónicos, y ha suscitado serias preocupaciones sobre la seguridad de los activos digitales.
- Ver más
Origen del exploit: ?Cómo se comprometió Ledger ConnectKit?
Los desarrolladores identificaron por primera vez la vulnerabilidad en Twitter, que más tarde fue confirmada por la empresa de seguridad BlockAid como un “ataque a la cadena de suministro” al ConnectKit de Ledger.
?? We’ve detected a potential supply chain attack on ledgerconnect kit ??
The attacker injected a wallet draining payload into the popular NPM package.
This currently affects a couple of popular dapps including but not limited to https://t.co/2QJmKIGv9T— Blockaid (@blockaid_) December 14, 2023
Los atacantes sustituyeron el software legítimo de la biblioteca por código malicioso dise?ado para sustraer activos a usuarios desprevenidos.
El director de tecnología de SushiSwap, Matthew Lilley, identificó la causa raíz como un compromiso de la red de distribución de contenidos (CDN) que aloja la biblioteca de software ConnectKit.
Según Lilley, cualquier dApp que utilizara ConnectKit de Ledger era susceptible al exploit.
No, LedgerHQ/connect-kit loads JS from a CDN, their CDN account has been compromised which is injecting malicious JS into multiple dApps.
— I’m Software ???? (@MatthewLilley) December 14, 2023
Impacto en las aplicaciones descentralizadas (dApps)
Las implicaciones del ataque fueron inmediatas y generalizadas, con repercusiones en toda la industria de las criptomonedas.
Varias dApps destacadas, como Kyber y RevokeCash, reconocieron la amenaza y desactivaron sus frontales como medida de precaución.
El código malicioso inyectado podría afectar a los frontales de varias dApps, lo que supondría un riesgo significativo para los usuarios y sus activos.
Blockaid estimó la pérdida inicial en unos 150.000 dólares, que más tarde ascendió a más de medio millón de dólares.
Tether blocked the address of #LedgerExploiter 40 mins ago.https://t.co/4SS83UcCrKhttps://t.co/VwI6QYkw4E pic.twitter.com/jtupm8VPkC
— Lookonchain (@lookonchain) December 14, 2023
En respuesta, el emisor de stablecoins Tether puso en la lista negra la dirección del hacker para evitar nuevas transacciones.
Respuesta a la crisis de Ledger y medidas de seguridad actualizadas
Ledger reconoció rápidamente el problema, declarando: “Hemos identificado y eliminado una versión maliciosa de Ledger ConnectKit. Ahora se está enviando una versión auténtica para sustituir al archivo malicioso”.
Aconsejaron a los usuarios que no interactuaran con ninguna dApp hasta que la situación estuviera totalmente resuelta.
El fabricante de monederos electrónicos subrayó que los dispositivos Ledger y la aplicación Ledger Live no se vieron comprometidos en el ataque.
Más tarde, en una alerta a todo el sector, MetaMask, una de las principales aplicaciones de monedero Web3, advirtió de que el incidente afectaba a todos los usuarios, no sólo a los clientes de Ledger.
For all the devs on ??SDK asking:
“metamask/sdk” is not affected “metamask/sdk-react” is not affected. “metamask/sdk-react-ui” is using this package as a Wagmi dependency but an older version (1.1.0) so it’s not affected cause this issue is happening in version 1.1.7. On top of…
— Francesco Andreoli | andreolf.eth?? (@francescoswiss) December 14, 2023
MetaMask desplegó rápidamente una solución para su aplicación e instó a los usuarios a actualizar a la última versión por seguridad.
Alcance y gravedad del último criptoataque
La versión comprometida del Connect Kit, esencial para la interacción entre los monederos de hardware de Ledger y las dApps, facilitó transferencias de activos no autorizadas.
El enlace con los desarrolladores del núcleo de Ethereum, Hudson Jameson, subrayó el riesgo y aconsejó a los usuarios que tuvieran cuidado con las dApps hasta que los proyectos afectados actualizaran sus sistemas con el código corregido de Ledger.
Aunque todavía no se ha calculado la suma exacta perdida hasta el momento, este incidente no es el primer encuentro de Ledger con problemas de seguridad.
?? ledger library confirmed compromised and replaced with a drainer. wait out interacting with any dapps till things become clearer.https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
— banteg (@bantg) December 14, 2023
En noviembre de este a?o, una aplicación fraudulenta de Ledger en la App Store de Microsoft provocó pérdidas de casi 1 millón de dólares.
Además, en 2020, Ledger se enfrentó a una reacción violenta después de que un ataque informático comprometiera más de un millón de correos electrónicos de usuarios.
El reciente servicio Recover de Ledger, basado en la identificación voluntaria, aunque no está relacionado con este exploit, también suscitó críticas por los fallos de seguridad percibidos.
En resumen: Una llamada de atención para mejorar las medidas de seguridad
La explotación de la biblioteca ConnectKit de Ledger sirve como un duro recordatorio de las vulnerabilidades en el ecosistema de activos digitales, en particular en lo que respecta a las integraciones y dependencias de terceros.
A medida que el sector de las criptomonedas sigue evolucionando, no se puede exagerar la importancia de contar con medidas de seguridad sólidas y protocolos de respuesta rápida.
Tanto para los usuarios como para los desarrolladores, este incidente pone de relieve la necesidad de una mayor vigilancia y una comprensión exhaustiva de las tecnologías y bibliotecas subyacentes de las que dependen.
Por hoy, y cada día… Pisa con cuidado.
