En Resumen
- Ledger desactivará la firma ciega para aplicaciones descentralizadas (dapps) de EVM en junio de 2024, después de una vulnerabilidad que resultó en el robo de alrededor de $600,000 en activos de criptomonedas.
- La vulnerabilidad involucró un drenador de billetera agregado a una biblioteca utilizada por desarrolladores para conectarse a dispositivos Ledger.
- La firma ciega será eliminada para establecer un nuevo estándar de seguridad. Ledger instó a los desarrolladores de dapps a respaldar la firma clara.
El fabricante de billeteras de hardware Ledger desactivará la firma ciega para aplicaciones descentralizadas (dapps) de EVM en junio de 2024, siguiendo una vulnerabilidad en la que se agregó un drenador de billetera a una biblioteca utilizada por muchos desarrolladores para conectarse a sus dispositivos.
Ledger informó en Twitter que se robaron alrededor de $600.000 en activos de criptomonedas durante la vulnerabilidad. Anunció que las víctimas afectadas serían "compensadas" y que "ya no permitiría la Firma Ciega con dispositivos Ledger para junio de 2024".
La firma ciega implica la visualización de datos de firma de contratos inteligentes en bruto que pueden ser analizados por computadoras, pero son incomprensibles para un lector humano. Ledger ha defendido anteriormente un enfoque de "lo que ves es lo que firmas" conocido como firma clara, en el que la firma de contratos inteligentes se analiza de manera legible para humanos.
En su anuncio, Ledger declaró que su decisión de eliminar la firma ciega "establecerá un nuevo estándar para proteger a los usuarios y fomentar la Firma Clara en las DApps" y animó a los desarrolladores de DApps a respaldar la firma clara.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
En el exploit de la semana pasada, los desarrolladores identificaron una versión maliciosa del Kit de Conexión de Ledger, una biblioteca que permite a los dispositivos Ledger conectarse con DApps, en Twitter. La firma de seguridad web3 BlockAid informó que, "El atacante inyectó un payload para drenar billeteras" en el paquete NPM del kit de conexión de ledger, lo que les permitió drenar los fondos de los usuarios que iniciaron sesión en DApps como Sushi.com y Hey.xyz.
El desarrollador de billeteras de software MetaMask advirtió a los usuarios que "dejen de usar DApps" después de que se conociera la noticia del ataque.
En una publicación de seguimiento, Ledger confirmó que el ataque ocurrió como resultado de que un ex empleado cayó víctima de un ataque de phishing. El atacante logró acceder a la cuenta de NPMJS del ex empleado, un administrador de paquetes de JavaScript, lo que les permitió enviar una versión maliciosa del Kit de Conexión de Ledger. El Kit de Conexión malicioso redirigió los fondos de los usuarios desde cualquier billetera que se conectara a una dapp y lo utilizara, hacia la billetera del hacker.
Ledger afirmó que se implementó una solución en un plazo de 40 minutos después de que los equipos de seguridad de la empresa fueran alertados, y ha lanzado una nueva versión actualizada del Kit de Conexión (1.1.8). Además, agregó que los dispositivos Ledger en sí y la aplicación Ledger Live de la empresa no se vieron comprometidos por la explotación.
Anteriormente, la firma ha enfrentado críticas por su seguridad. En 2020, se hackeó la base de datos de correos electrónicos de los clientes de Ledger, comprometiendo más de un millón de correos electrónicos de usuarios, mientras que a principios de este año, el servicio de recuperación basado en identificación voluntaria de Ledger fue llamado una "puerta trasera" o backdoor por los usuarios. El cofundador de Ledger, Éric Larchevêque, describió el lanzamiento del servicio de recuperación como "un fracaso total en relaciones públicas, pero absolutamente no técnico".
Editado por Stacy Elliott.