El exploit del Connect Kit genera críticas al marco de seguridad de Ledger

El Exploit de Ledger Provoca Reacciones Mixtas en la Esfera Cripto; Dapps y Tether Responden Prontamente al Incidente

Ledger, reconocido por sus soluciones de seguridad cripto y fabricación de monederos hardware, enfrentó un exploit en su Connect Kit de Ledger, una herramienta de Javascript utilizada para conectar sitios web con carteras. La brecha, que duró menos de dos horas, no afectó al hardware de Ledger ni a Ledger Live, sino que se limitó a aplicaciones descentralizadas de terceros (dapps) que utilizaban el Connect Kit. Sin embargo, esto ha planteado interrogantes sobre los protocolos de seguridad del software de Ledger.

Jameson Lopp, una figura prominente en la comunidad cripto y CTO del proveedor de seguridad de bitcoin Casa, señaló tres fallas críticas en Ledger: “Cargar código a ciegas sin anclar una versión específica y suma de comprobación, no hacer cumplir reglas de ‘2 hombres’ alrededor de la revisión de código y despliegue, y no revocar el acceso de empleados anteriores.”

Estas lagunas en el protocolo de seguridad permitieron que ocurriera el exploit cuando un ataque de phishing a un ex empleado condujo a la introducción de código malicioso en el NPMJS de Ledger. Lefteris Karapetsas también criticó el enfoque de Ledger, exclamando, “¿Están locos? ¿Por qué construirían la biblioteca más consciente de seguridad en el mundo para ‘cargar desde CDN’ por conveniencia sin tener a los usuarios esperando que las dapps se actualicen?”

Cryptofinally, otro comentarista de la industria, expresó incredulidad frente a la naturaleza de la brecha: “Imagina ser lo suficientemente inteligente para explotar toda la interfaz de ledger a dapp, y luego dejar tu nombre completo en el código, llevando a tu cuenta de Twitter que dice, ex empleado de Ledger.”

En respuesta al exploit, el CEO de Ledger Pascal Gauthier reconoció la brecha y delineó pasos para mejorar las medidas de seguridad. Gauthier declaró, “Fue un incidente aislado desafortunado. Es un recordatorio de que la seguridad no es estática y Ledger debe mejorar continuamente nuestros sistemas y procesos de seguridad.” Ledger planea implementar controles más fuertes, especialmente en la seguridad de la cadena de suministro de software, para evitar incidentes futuros similares.

La compañía ha colaborado con la aplicación de la ley y expertos en ciberseguridad para rastrear los activos robados y está trabajando con los usuarios afectados. “Lamentamos profundamente los eventos que se desarrollaron hoy para las personas afectadas,” dijo Gauthier. Ledger insiste en que el incidente ha sido contenido, y Ledger aseguró a la comunidad cripto que la amenaza ha sido mitigada. También se compartió una cronología completa del incidente y los esfuerzos de respuesta junto con las declaraciones de Gauthier.

Tras el exploit de Ledger, varios dapps y empresas cripto tomaron acción inmediata para mitigar el impacto. Varios protocolos y compañías desactivaron sus interfaces de usuario de front-end como precaución. Proyectos que tomaron medidas incluyen Lido, Sushi, Balancer, Revokecash, Zapper y el mercado de tokens no fungibles (NFT) Opensea. El CEO de Tether, Paolo Ardoino, también notificó a la comunidad cripto que la firma de la moneda estable congeló la dirección del explotador de Ledger.

Arkham Intelligence anunció una recompensa por identificar a los responsables del Exploit Drainer de la Biblioteca de Ledger. El exploit, vinculado a “Angel Drainer”, resultó en una pérdida de más de $500.000 de múltiples dapps. Arkham declaró que las recompensas incluyen revelar la identidad de Angel Drainer, pistas para la recuperación de fondos e información sobre depósitos KYC en bolsas tras el incidente por Angel Drainer. Arkham ofreció una recompensa similar después del incidente de Okx Dex que vio la pérdida de $2.7 millones.

¿Qué opinas sobre el reciente exploit de Ledger y las críticas? Comparte tus pensamientos y opiniones sobre este tema en la sección de comentarios a continuación.