- Ledger emitió un comunicado de prensa en el que explica los detalles sobre esta brecha de seguridad en el Ledger Connect Kit, que se produjo concretamente el pasado 14 de diciembre
- ¿Cómo se generó esta intromisión y qué medidas han tomado para resarcir a los usuarios?
A pesar de la muchas ventajas de las DeFi de las que hemos hablado largamente, es mejor ser cuidadoso con las finanzas descentralizadas en estos días en los que Ledger puso recientemente en peligro a sus clientes por un hackeo. Puede que no estuvieras al tanto de ello, pero esta firma que era reconocida como un paradigma de la seguridad dentro del universo de las criptos vio como sus sistemas conectados quedaban comprometidos ante un ataque.
Ellos mismos confirmaron la situación a través de un comunicado de prensa, en el que explican los detalles sobre esta brecha de seguridad en el Ledger Connect Kit que se produjo concretamente el pasado 14 de diciembre. Básicamente, los hackers atacaron una librería de JavaScript que conecta los sitios con sus wallets.
De más está decir que este hackeo ha afectado a terceros que aprovechaban este kit para sincronizar páginas con sus billeteras virtuales. Eso sí, parece que todos los usuarios con billeteras frías están a salvo del problema.
¿Qué sabemos del ataque hasta ahora?
Según lo que comentan, no se tiene precisión de la magnitud del dinero robado porque no se han recopilado todas las DApps o aplicaciones descentralizadas que fueron afectadas. Organizaciones como Blockaid insinúan que habrían perdido unos 150 000 dólares en cripto. Otras, como ZachXBT, hablan de 610 000 dólares. Pero podría ser más. Sabemos con certeza que el exploit estuvo activo de manera efectivo durante más de una hora. Demasiado tiempo.
Los hackeos en el mundo cripto son más comunes de lo que imaginamos, y hay que interpretarlos como parte de las desventajas de los sistemas descentralizados. Desventajas que se irán solucionando con el paso de los años, claro. Tengamos en cuenta, por otro lado, que son miles de plataformas y la gran mayoría no tienen inconvenientes.
En cuanto al origen del ataque, un empleado fue víctima de phishing como suele pasar con este tipo de situaciones. Infiltrarse en los sistemas internos engañando con phishing a un trabajador con acceso a determinadas características. Es justo lo que se comenta respecto de estas circunstancias y ataque.
Esto permitió a los atacantes subir un archivo malicioso a servicios internos de Ledger que controlan el código JavaScript. Una vez detectado, se tardó algo más de 40 minutos en combatir el código y sus consecuencias.
Un desafortunado incidente aislado
Desde Ledger han definido el evento como un «desafortunado incidente aislado». Aseguran que el 99% de sus procesos dependen de más de un empleado por lo que, aunque un trabajador cometa algún error, no debería suponer problemas más graves que una revisión de seguridad. Lamentablemente ese no fue el caso, y tendrán que elevar diversos estándares para que ese 1% de procesos, de los que éste formaba parte, no puedan repetirse.
Prometen reembolsos por 600 000 dólares
Tras unos días decidieron cómo afrontar el ataque, Ledger tomó como medida el realizar una serie de reembolsos. Reembolsos por la cifra antes mencionada de 600 000. Admitieron internamente que aplicaciones descentralizadas, incluyendo SushiSwap y Revoke, que recurren a sus billeteras, perdieron dinero por esos montos aproximados.
En un anuncio, detallaron que los inversores damnificados serán resarcidos para recuperar su dinero… ¿y confianza?
Nos comprometemos, por todos los medios posibles, incluidos los gestos de buena voluntad, a asegurarnos de que esto se haga antes de finales de febrero de 2024. Ya estamos en contacto con muchos usuarios afectados y estamos trabajando activamente con ellos en los detalles concretos. Nuestro compromiso es trabajar con la comunidad y el ecosistema DApp para permitir Clear Signing para que los usuarios puedan verificar todas las transacciones en los dispositivos Ledger antes de firmar. Esto conducirá a un nuevo estándar para proteger a los usuarios y fomentar Clear Signing a través de DApps
Asimismo, siempre citando esta fuente, advierten que seguirán esforzándose por eliminar el protocolo Blind Singing. Seguramente podrán deshacerse de él recién durante el mes de junio de 2024. Esperemos que esta vez cumplan.
¿Tienes alguna opinión formada sobre Ledger y el hackeo? ¿Piensas que han actuado como deberían hacerlo?