Ledger, el fabricante de billeteras de hardware, ha advertido a los usuarios que no se conecten a aplicaciones descentralizadas (dapps), luego de que se identificara una versión maliciosa del Ledger Connect Kit.
Hemos identificado y eliminado una versión maliciosa del Ledger Connect Kit. Ahora se está publicando una versión genuina para reemplazar el archivo malicioso. No interactúes con ninguna dApp por el momento.
Declaraciones de un portavoz de Ledger.
El portavoz también añadió que los dispositivos Ledger y su aplicación Ledger Live no se vieron comprometidos y que la empresa “mantendrá informados a los usuarios a medida que evolucione la situación”.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
Por su parte, el desarrollador de billeteras de software MetaMask también lanzó una advertencia para que sus usuarios dejen de usar Dapps luego de conocer la noticia el ataque.
Es importante señalar que la versión comprometida está en el Connect Kit, una biblioteca que permite que la billetera de hardware se conecte con dapps. La noticia fue publicada a través de Twitter.
Te puede interesar: Magic Eden lanza NFT de Cadena Cruzada y Nueva Crypto Wallet
Varias Dapps vinculadas a Ledger se vieron afectadas por el ataque
Matthew Lilley, director de tecnología de SushiSwap, ha criticado a Ledger por lo que él llama “una cadena de errores terribles”. Además, explicó que “un conector web3 de uso común se ha visto comprometido. Lo que permite la inyección de código malicioso que afecta a numerosas dApps”.
🚨 We've detected a potential supply chain attack on ledgerconnect kit 🚨
The attacker injected a wallet draining payload into the popular NPM package.
This currently affects a couple of popular dapps including but not limited to https://t.co/2QJmKIGv9T— Blockaid (@blockaid_) December 14, 2023
De igual manera, la firma de seguridad Web3 BlockAid informó que “el atacante inyectó una carga útil que agotó la billetera” en el paquete NPM del kit Ledgerconnect. Las aplicaciones descentralizadas que utilizan las versiones 1.1.4 y superiores del kit Connect de la billetera, incluidos Sushi.com y Hey.xyz, se vieron afectadas.
🛡 Security Update: Issue Resolved 🛡
We've successfully removed the compromised Ledger connector from our website and restored full functionality. Our website is now back online.
Remember, it's important not to interact with any dApps if you're unsure about their security… https://t.co/eqwXg3z9Ef
— Sushi.com (@SushiSwap) December 14, 2023
Hudson Jameson, encargado de los desarrolladores principales de Ethereum, explicó que “una biblioteca que utilizan muchas dapps. Es mantenida por Ledger y se vio comprometida agregando un drenaje de billetera”.
🚨ATENCIÓN🚨
👉Actualización del HACKEO a la librería de #Ledger usada por muchas otras wallets
◾️Según @lookonchain, el hacker robó $484.000 de usuarios que interactuaron en la #blockchain
◾️Tether congeló la dirección del hacker y no podrá transaccionar con sus USDT… pic.twitter.com/B39HaKfe0f
— Tech Con Catalina (@Techconcatalina) December 14, 2023
Jameson también reiteró que “es arriesgado usar dapps actualmente si no entiendes qué bibliotecas backend usan”. Incluso “después de que la wallet corrija el código incorrecto en su biblioteca, los proyectos que usan e implementan esa biblioteca necesitarán actualizarse”.
