Ledger, proveedor de billeteras de hardware criptográfico, implementará cambios en los procesos de firma de transacciones después de un exploit del 14 de diciembre en la biblioteca de software Ledger Connect Package.
«Somos conscientes de aproximadamente $600,000 en activos afectados, robados de usuarios que firman ciegamente en EVM DApps», escribió Ledger en un miércoles. X correo. Se «compromete a trabajar con el ecosistema DApp para permitir la firma clara y ya no permitir la firma ciega con dispositivos Ledger para junio de 2024».
Tanto los clientes de Ledger como los que no son de Ledger y que perdieron fondos debido al exploit serán «compensados» para fines de febrero de 2024, dijo la firma, y agregó que aquellos que firmaron una transacción en las DApps afectadas deben revocar las transacciones no autorizadas para evitar que el código malicioso afectándolos aún más.
«Nuestro compromiso es trabajar con la comunidad y el ecosistema DApp para permitir Obvious Signing para que los usuarios puedan verificar todas las transacciones en los dispositivos Ledger antes de firmar. Esto conducirá a un nuevo estándar para proteger a los usuarios y fomentar Clear Signing en todas las DApps», escribió Ledger.
La firma ciega se refiere a un proceso en el que a un usuario se le presentan datos sin procesar, interpretables por computadoras pero ilegibles para los humanos, para aprobar transacciones en cadena con su clave privada. La firma clara resume una transacción para que un usuario la revise y comprenda antes de ejecutarla, explicó Ledger en un artículo de junio de 2022.
Problema de seguridad de Ledger ConnectKit
La semana pasada, una vulnerabilidad crítica que afectó a varias aplicaciones descentralizadas afectó a una biblioteca de application en la que confiaba Ledger, informó anteriormente The Block. Potencialmente debido a un compromiso en la purple de entrega de contenido específica de la biblioteca de software package, se había inyectado código malicioso en las interfaces de las aplicaciones que permitieron al explotador robar activos.
Ledger eliminó el código malicioso después de identificarlo, pero organizaciones de terceros estimaron que alrededor de $500,000 en fondos se habían visto afectados en ese momento.
El código malicioso, conocido como malware Angel Drainer, redirigió los activos de los usuarios a las billeteras del hacker. El ataque comenzó con un «sofisticado ataque de phishing» a un ex empleado de Ledger cuyo acceso no había sido revocado manualmente a tiempo, dijo la firma en un relato detallado del exploit.
«Este fue un desafortunado incidente aislado», dijo Ledger. «La técnica de phishing implementada no se centró en las credenciales, que es lo que vemos en la mayoría de los ataques Front-Close que afectan al ecosistema, sino que el atacante trabajó directamente en el token de sesión».
(Se actualiza con una explicación de la firma ciega y clara).
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. En noviembre de 2023, Foresight Ventures es el inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del criptoespacio. Bitget, el intercambio de cifrado, es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para brindar información objetiva, impactante y oportuna sobre la industria de la criptografía. Aquí están nuestras divulgaciones financieras actuales.
© 2023 El Bloque. Reservados todos los derechos. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento lawful, fiscal, de inversión, financiero o de otro tipo.
