El proveedor de billeteras de hardware Ledger advirtió a los usuarios que eviten conectarse a cualquier aplicación descentralizada (dApps) suitable utilizando su software package debido a un compromiso en su Library ConnectKit.
Según la información compartida en su identificador X (anteriormente Twitter), se identificó y eliminó de su backend una versión maliciosa de Library ConnectKit.
🚨Hemos identificado y eliminado una versión maliciosa del package Ledger Hook up. 🚨
Ahora se está publicando una versión genuina para reemplazar el archivo malicioso. No interactúes con ninguna dApp por el momento. Le mantendremos informado a medida que evolucione la situación.
Su dispositivo Ledger y…
– Libro mayor (@Ledger) 14 de diciembre de 2023
Por lo tanto, se recomienda encarecidamente a los usuarios que no interactúen temporalmente con ninguna dApp. Sin embargo, Ledger aseguró a los usuarios que sus dispositivos Ledger y sus aplicaciones Ledger Live no se ven afectados por el código malicioso.
El connectkit de biblioteca comprometido fue descubierto por primera vez por un desarrollador en X con el nombre de usuario @bantg, quien afirmó que el backend del application Ledger tenía un drenaje.
🚨 La biblioteca del libro mayor confirmó que estaba comprometida y fue reemplazada por un escurridor. espere a interactuar con cualquier dapp hasta que las cosas se aclaren. https://t.co/xapunW8zC3 pic.twitter.com/NlAc11vhdv
-banteg (@bantg) 14 de diciembre de 2023
El drenaje supuestamente se agregó a una crimson de entrega de contenido (CDN) que alojaba la biblioteca de application.
Al aclarar cómo se agregó el código malicioso, Blockaid afirmó que un ciberatacante inyectó una «carga útil que agotó la billetera en el preferred paquete NPM», lo que comprometió las dApps que utilizan las versiones 1.14 y superiores de ConnectKit de Ledger.
🚨 Hemos detectado un posible ataque a la cadena de suministro en el kit Ledgerconnect 🚨
El atacante inyectó una carga útil que drenaba la billetera en el preferred paquete NPM.
Actualmente, esto afecta a un par de dapps populares, incluidas, entre otras, https://t.co/2QJmKIGv9T– Bloqueo (@blockaid_) 14 de diciembre de 2023
Matthew Lilley, director de tecnología (CTO) de Sush, también reveló que LedgerHQ/connectkit carga JS desde una cuenta CDN había sido comprometida. Como resultado, se inyectó un código JS malicioso en varias DApps.
No, LedgerHQ/join-kit carga JS desde una CDN, su cuenta CDN se ha visto comprometida, lo que está inyectando JS malicioso en múltiples dApps.
– Soy software program 🦇🔊 (@MatthewLilley) 14 de diciembre de 2023
Proyectos blockchain como RevokeCash y Kyber Community han confirmado el incidente. RevokeCash suspendió brevemente su sitio internet en respuesta, pero desde entonces rectificó el problema, eliminando la dependencia explotada y reabriendo su sitio web.
⚠️⚠️⚠️⚠️⚠️⚠️
Advertencia: varias aplicaciones criptográficas populares que se integran con la biblioteca ConnectKit de Ledger, incluida https://t.co/MkINKOiX5N, se han visto comprometidas. Desconectamos temporalmente el sitio world wide web mientras investigamos más a fondo. Recomendamos no utilizar *ningún* sitio internet criptográfico…— Revocar.dollars (@RevokeCash) 14 de diciembre de 2023
Sin embargo, el proyecto ha aconsejado a los usuarios que no conecten sus billeteras criptográficas a ningún protocolo blockchain durante el resto del día.
Aún no es seguro después de solucionar el problema
El protocolo Ledger ha confirmado la implementación de program auténtico y está trabajando activamente para eliminar la carga útil que agota la billetera de su servicio CDN.
A pesar de estos esfuerzos, los expertos de la industria recomiendan precaución entre los usuarios de criptomonedas al utilizar cualquier solución basada en World-wide-web3 por el momento.
El desarrollador principal de Ethereum, Hudson Jameson, explicó que si algún usuario de criptomonedas visita cualquiera de las numerosas dApps vinculadas al ecosistema Ledger, las indicaciones del navegador como Metamask podrían revelar los detalles de su billetera criptográfica.
Esta vulnerabilidad plantea un riesgo de comprometer los activos. Para mitigar este riesgo, se recomienda encarecidamente a los usuarios que se abstengan de interactuar con las dApps afectadas hasta que se publique la actualización.
Explicación del exploit de la biblioteca Ledger para la gente promedio
¿Qué está pasando con las recientes alertas de no usar dapps?
Una biblioteca que utilizan muchas dapps mantenida por Ledger se vio comprometida y se agregó un drenaje de billetera.
¿Qué hago como usuario typical?
No interactúes con… https://t.co/exre0QfykD
-Hudson Jameson (@hudsonjameson) 14 de diciembre de 2023
Jameson enfatizó que incluso después de la eliminación del código malicioso, todas las dApps conectadas deben actualizar sus bibliotecas antes de que puedan considerarse seguras para su uso.