Libro mayorLibro mayor
Fuente: iStock/welcomia

El proveedor de billeteras de hardware Ledger advirtió a los usuarios que eviten conectarse a cualquier aplicación descentralizada (dApps) suitable utilizando su software package debido a un compromiso en su Library ConnectKit.

Según la información compartida en su identificador X (anteriormente Twitter), se identificó y eliminó de su backend una versión maliciosa de Library ConnectKit.

Por lo tanto, se recomienda encarecidamente a los usuarios que no interactúen temporalmente con ninguna dApp. Sin embargo, Ledger aseguró a los usuarios que sus dispositivos Ledger y sus aplicaciones Ledger Live no se ven afectados por el código malicioso.

El connectkit de biblioteca comprometido fue descubierto por primera vez por un desarrollador en X con el nombre de usuario @bantg, quien afirmó que el backend del application Ledger tenía un drenaje.

El drenaje supuestamente se agregó a una crimson de entrega de contenido (CDN) que alojaba la biblioteca de application.

Al aclarar cómo se agregó el código malicioso, Blockaid afirmó que un ciberatacante inyectó una «carga útil que agotó la billetera en el preferred paquete NPM», lo que comprometió las dApps que utilizan las versiones 1.14 y superiores de ConnectKit de Ledger.

Matthew Lilley, director de tecnología (CTO) de Sush, también reveló que LedgerHQ/connectkit carga JS desde una cuenta CDN había sido comprometida. Como resultado, se inyectó un código JS malicioso en varias DApps.

Proyectos blockchain como RevokeCash y Kyber Community han confirmado el incidente. RevokeCash suspendió brevemente su sitio internet en respuesta, pero desde entonces rectificó el problema, eliminando la dependencia explotada y reabriendo su sitio web.

Sin embargo, el proyecto ha aconsejado a los usuarios que no conecten sus billeteras criptográficas a ningún protocolo blockchain durante el resto del día.

Aún no es seguro después de solucionar el problema


El protocolo Ledger ha confirmado la implementación de program auténtico y está trabajando activamente para eliminar la carga útil que agota la billetera de su servicio CDN.

A pesar de estos esfuerzos, los expertos de la industria recomiendan precaución entre los usuarios de criptomonedas al utilizar cualquier solución basada en World-wide-web3 por el momento.

El desarrollador principal de Ethereum, Hudson Jameson, explicó que si algún usuario de criptomonedas visita cualquiera de las numerosas dApps vinculadas al ecosistema Ledger, las indicaciones del navegador como Metamask podrían revelar los detalles de su billetera criptográfica.

Esta vulnerabilidad plantea un riesgo de comprometer los activos. Para mitigar este riesgo, se recomienda encarecidamente a los usuarios que se abstengan de interactuar con las dApps afectadas hasta que se publique la actualización.

Jameson enfatizó que incluso después de la eliminación del código malicioso, todas las dApps conectadas deben actualizar sus bibliotecas antes de que puedan considerarse seguras para su uso.

Share.
Leave A Reply