En Resumen
- Ledger confirmó una vulnerabilidad causada por un ataque de phishing a un ex empleado, comprometiendo el código y lanzando una versión maliciosa del Kit de Conexión de Ledger.
- El atacante, tras acceder a NPMJS, pudo distribuir código malicioso a través de las versiones 1.1.5, 1.1.6 y 1.1.7 del Connect Kit, redirigiendo fondos de usuarios a su billetera durante un periodo limitado.
- A pesar de la rápida respuesta de Ledger, la comunidad cripto expresó preocupación sobre la seguridad en el ecosistema, mientras Tether congeló fondos vinculados a la billetera del explotador de DeFi, quien drenó $484.000.
El fabricante de billeteras de criptomonedas Ledger ha confirmado una vulnerabilidad que lo llevó a advertir a los usuarios que "dejen de usar dapps" debido a que un ex empleado cayó en una estafa de phishing.
El nombre y la dirección de correo electrónico del ex empleado aparecieron en el código comprometido. Inicialmente, la comunidad cripto interpretó esto como que el propio desarrollador era responsable de la vulnerabilidad, pero Ledger confirmó más tarde que el ataque comenzó porque "un ex empleado de Ledger fue víctima de un ataque de phishing".
El atacante pudo acceder a la cuenta de NPMJS del ex empleado, un administrador de paquetes para el lenguaje de programación JavaScript. Los paquetes son bibliotecas que los desarrolladores pueden usar para construir proyectos, en lugar de codificar todo desde cero. En la comunidad Web3, los desarrolladores utilizan paquetes para hacer que sus aplicaciones descentralizadas sean accesibles desde diferentes billeteras.
Una vez que el explotador tuvo acceso a NPMJS, lanzaron una versión maliciosa del Kit de Conexión de Ledger. Cualquier proyecto que estuviera utilizando Connect Kit habría contenido código malicioso que podría redirigir los fondos de los usuarios a una billetera de un hacker. Las versiones afectadas del Connect Kit son 1.1.5, 1.1.6 y 1.1.7, todas ellas ya han sido eliminadas de la página de NPM de Ledger.
"Los equipos de tecnología y seguridad de Ledger fueron alertados y se implementó una solución en un plazo de 40 minutos desde que Ledger tuvo conocimiento", dijo la compañía en un comunicado compartido con Decrypt. "El archivo malicioso estuvo activo durante aproximadamente 5 horas, sin embargo, creemos que el período en el que se drenaron los fondos fue limitado a menos de dos horas".
Ledger ahora dice que ha lanzado una nueva versión del Kit de Conexión (1.1.8) y todas las billeteras que lo utilizan se actualizarán automáticamente. Pero advierte que los usuarios aún deben esperar 24 horas antes de intentar conectarse a una aplicación descentralizada.
"La gran cantidad de repositorios en GitHub que dependen de connect-kit-loader sugiere que el daño causado a la cadena de suministro de criptomonedas podría ser significativo a menos que los desarrolladores que utilizan este paquete ejerzan una limpieza adecuada para su consumo", dijo Ilkka Turunen, CTO de campo de la empresa de ciberseguridad Sonatype, a Decrypt.
La explotación ha causado pánico generalizado en la industria.
"Estamos seriamente jodidos si un desarrollador puede hacer clic en un enlace de phishing y comprometer casi todas las interfaces de las aplicaciones significativas en el ecosistema", escribió el inversor y asesor Aftab Hossain (más conocido como DCInvestor) en X (anteriormente Twitter). "Lee esa frase una y otra vez hasta que interioricemos lo absurdo e inaceptable que es esto".
https://twitter.com/iamDCinvestor/status/1735326515833782686
Mientras tanto, el emisor de la stablecoin Tether ha congelado los fondos vinculados de la billetera utilizada por un explotador para drenar $484.000 de usuarios de DeFi el jueves por la mañana, según informó el CEO de Tether, Paolo Ardoino.
Hasta el momento de escribir esto, la billetera tenía poco más de $27.000 en USDT y un total de $334.814 en otras cripto. En un momento, la billetera mantuvo hasta $484.000. Los datos on-chain muestran que la billetera ha estado transfiriendo fondos a una billetera vinculada a Angel Drainer. Se sospecha que el grupo de phishing ha estado involucrado en varios otros hacks de DeFi.
Los activos robados también incluyen un NFT de Doodle, valorado en 3,9 ETH, que ha sido marcado por "actividad sospechosa" en OpenSea.
Los drainers funcionan convenciendo a los usuarios de aprobar una transacción que secretamente le da al hacker acceso a otros fondos en su billetera. Los propios drainers, que tienen todo tipo de nombres creativos, se alquilan a grupos de piratas informáticos y los desarrolladores originales se llevan una parte de las ganancias ilícitas.
Editado por Guillermo Jimenez.