Ledger Connect Kit, un servicio de la Web 3.0 que configura aplicaciones descentralizadas (dApps), perteneciente al fabricante de wallets cripto Ledger, se vio comprometido por un ataque mediante la inyección de código malicioso.
Según se informó, el ataque solicitaba a los usuarios que conecten sus wallets vía una ventana emergente, que se encarga de drenar fondos en moneda digital.
Como consecuencia, miles de usuarios de la plataforma se vieron afectados, por lo que la empresa matriz comunicó que ya trabaja en amparar a todos ellos.
Así lo informó Ledger a través de su cuenta de X (exTwitter), en la que confirmó la cifra de lo sustraído por ciberdelincuentes, que asciende a los u$s600.000 en activos cripto robados.
Inmediatamente después del ataque sufrido el 14 de diciembre, el CEO de la plataforma, Pascal Gauthier, expresó que las víctimas del ataque recibirían la asistencia de la empresa, que pondrá "todos sus recursos internos y externos» a disposición para recompensarlas".
En este nuevo anuncio, Ledger se comprometió a que las víctimas sean resarcidas y reembolsadas: "nos comprometemos, por todos los medios posibles, incluidos los gestos de buena voluntad, a asegurarnos de que esto se haga antes de finales de febrero de 2024. Ya estamos en contacto con muchos usuarios afectados y estamos trabajando activamente con ellos en los detalles concretos".
En esta línea, Ledger trabajará con el ecosistema dApp para modificar el modelo de firmas el cual, a partir de 2024, permitirá a los usuarios verificar de forma clara y precisa lo qué firme y apruebe al interactuar con una aplicación.
"Nuestro compromiso es trabajar con la comunidad y el ecosistema DApp para permitir Clear Signing para que los usuarios puedan verificar todas las transacciones en los dispositivos Ledger antes de firmar. Esto conducirá a un nuevo estándar para proteger a los usuarios y fomentar Clear Signing a través de DApps", precisó el comunicado.
La compañía destacó la necesidad de establecer un nuevo estándar que proteja a los usuarios y mantenga en vilo la transparencia en su operaciones, al tiempo que reiteró que los dispositivos Ledger y Ledger Live se mantienen seguros.
Zapper, Sushiswap, Balancer y Revoke.cash, que emplean la tecnología de blockchain basadas en Ethereum en esta red, son algunas de las plataformas comprometidas por este ciberataque.
También, según la cuenta PeckShield Alerts, encargada de informar sobre sucesos ligados a exploits y malwares en este tipo de servicios, la dApp de Revoke Cash fue otra de las afectadas, la cual estuvo varias horas fuera de línea, según su equipo de desarrolladores.
Asimismo, MetaMask, una de las principales billeteras del sector, fue otra de las afectadas que rápidamente desplegó una actualización para solucionar el problema: "Por favor, asegúrate de tener activada la función Blockaid en MetaMask Extension antes de realizar cualquier transacción en MetaMask Portfolio", advirtió la compañía en X.
El Ledger Connect Kit es una solución para desarrolladores que permite conectar aplicaciones descentralizadas (dApps) con su billetera de hardware Ledger. Esta empresa ofrece a sus clientes el servicio del "libro mayor" con el cual se pueden operar con criptoactivos.