Por Stephen Graves
3 min lectura
El fabricante de billeteras de hardware Ledger desactivará la firma ciega para aplicaciones descentralizadas (dapps) de EVM en junio de 2024, siguiendo una vulnerabilidad en la que se agregó un drenador de billetera a una biblioteca utilizada por muchos desarrolladores para conectarse a sus dispositivos.
Ledger informó en Twitter que se robaron alrededor de $600.000 en activos de criptomonedas durante la vulnerabilidad. Anunció que las víctimas afectadas serían "compensadas" y que "ya no permitiría la Firma Ciega con dispositivos Ledger para junio de 2024".
La firma ciega implica la visualización de datos de firma de contratos inteligentes en bruto que pueden ser analizados por computadoras, pero son incomprensibles para un lector humano. Ledger ha defendido anteriormente un enfoque de "lo que ves es lo que firmas" conocido como firma clara, en el que la firma de contratos inteligentes se analiza de manera legible para humanos.
En su anuncio, Ledger declaró que su decisión de eliminar la firma ciega "establecerá un nuevo estándar para proteger a los usuarios y fomentar la Firma Clara en las DApps" y animó a los desarrolladores de DApps a respaldar la firma clara.
En el exploit de la semana pasada, los desarrolladores identificaron una versión maliciosa del Kit de Conexión de Ledger, una biblioteca que permite a los dispositivos Ledger conectarse con DApps, en Twitter. La firma de seguridad web3 BlockAid informó que, "El atacante inyectó un payload para drenar billeteras" en el paquete NPM del kit de conexión de ledger, lo que les permitió drenar los fondos de los usuarios que iniciaron sesión en DApps como Sushi.com y Hey.xyz.
El desarrollador de billeteras de software MetaMask advirtió a los usuarios que "dejen de usar DApps" después de que se conociera la noticia del ataque.
En una publicación de seguimiento, Ledger confirmó que el ataque ocurrió como resultado de que un ex empleado cayó víctima de un ataque de phishing. El atacante logró acceder a la cuenta de NPMJS del ex empleado, un administrador de paquetes de JavaScript, lo que les permitió enviar una versión maliciosa del Kit de Conexión de Ledger. El Kit de Conexión malicioso redirigió los fondos de los usuarios desde cualquier billetera que se conectara a una dapp y lo utilizara, hacia la billetera del hacker.
Ledger afirmó que se implementó una solución en un plazo de 40 minutos después de que los equipos de seguridad de la empresa fueran alertados, y ha lanzado una nueva versión actualizada del Kit de Conexión (1.1.8). Además, agregó que los dispositivos Ledger en sí y la aplicación Ledger Live de la empresa no se vieron comprometidos por la explotación.
Anteriormente, la firma ha enfrentado críticas por su seguridad. En 2020, se hackeó la base de datos de correos electrónicos de los clientes de Ledger, comprometiendo más de un millón de correos electrónicos de usuarios, mientras que a principios de este año, el servicio de recuperación basado en identificación voluntaria de Ledger fue llamado una "puerta trasera" o backdoor por los usuarios. El cofundador de Ledger, Éric Larchevêque, describió el lanzamiento del servicio de recuperación como "un fracaso total en relaciones públicas, pero absolutamente no técnico".
Editado por Stacy Elliott.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.