Ledger en acción – Restaurando la seguridad de las criptomonedas en dApps

La empresa Ledger emite un comunicado en respuesta a un incidente reciente de seguridad cibernética que resultó en la sustracción de aproximadamente USD 600.000 en criptomonedas pertenecientes a usuarios de aplicaciones descentralizadas (dApps).

Este incidente se produjo debido a una vulnerabilidad detectada en Ledger Connect Kit, una librería de código ampliamente empleada por numerosas dApps.

En consonancia con el compromiso previamente anunciado por el CEO de la empresa, Pascal Gauthier, se está abordando activamente dicha situación. El equipo de seguridad está trabajando para identificar y remediar la vulnerabilidad, así como para tomar las medidas necesarias para proteger a los usuarios y sus activos.

La seguridad de los usuarios es de suma importancia para la empresa, y afianzan su compromiso de garantizar su integridad y confianza en el futuro. Se continuará colaborando con las autoridades correspondientes para abordar tal incidente de manera adecuada y transparente.

Pascal Gauthier, el CEO de Ledger, anuncia su apoyo a las víctimas del reciente ataque

La empresa se compromete a utilizar todos sus recursos, tanto internos como externos, para compensar a aquellos afectados por este incidente.

Este compromiso, respaldado por un comunicado oficial de Ledger, no se limita únicamente a los clientes de la compañía, sino que se extiende a los usuarios de otras carteras que resultaron afectados al interactuar con el Ledger Connect Kit, una interfaz frontend utilizado por numerosas aplicaciones descentralizadas.

La empresa tiene como objetivo avanzar significativamente en la prestación de asistencia a estas personas para febrero de 2024. Ledger reconoce la importancia de respaldar a toda la comunidad afectada por este evento y está comprometido en garantizar que se satisfagan sus necesidades de manera efectiva y oportuna.

Desde el 14 de diciembre, fecha en que se emitió la primera advertencia a la comunidad de usuarios de aplicaciones descentralizadas (dApps) acerca de los potenciales riesgos, Ledger ha mantenido un constante y activo diálogo con aquellos afectados por la situación.

En este contexto, los expertos de la compañía han formulado una recomendación crucial: la revocación de todos los permisos otorgados previamente en las dApps que se han visto afectadas. Además, tanto Ledger como su CEO, Gauthier, se han involucrado en la promoción de medidas preventivas de cara al futuro.

Con la continua amenaza de ataques dirigidos hacia los frontends de las dApps, Ledger ha anunciado una medida de gran relevancia: a partir de junio de 2024, los usuarios no podrán llevar a cabo el proceso de Blind Signing, o «firmas ciegas», utilizando los dispositivos Ledger.

En este mismo comunicado, la empresa se ha comprometido activamente a colaborar con el ecosistema de dApps en la implementación de Clear Signing, o «firmas claras», lo cual permitirá a los usuarios verificar de manera nítida y precisa qué acciones están respaldando al interactuar con una aplicación.

La fundamental tarea que Ledger debe desempeñar en el caso

Es esencial señalar que el incidente relacionado con el Ledger Connect Kit se presenta como una cuestión mucho más profunda de lo que inicialmente podría parecer, y su alcance no se restringe únicamente a la eficacia del modelo de firmas utilizado.

En esta situación, no se trata solo de la inserción de código malicioso para inducir a los usuarios a aprobar transacciones falsas mientras creen que están interactuando con la dApp legítima.

En realidad, el problema radica en un conjunto de códigos ampliamente implementados en el vasto ecosistema asociado con Ledger.

La raíz del ataque se encuentra en la filtración de un acceso de Ledger al Node Package Manager (NPM), que es una plataforma dedicada a la publicación y distribución de bibliotecas de código.

La pregunta que surge es: ¿cómo llegó Ledger a perder el control de uno de sus accesos? La respuesta es que no desactivaron las credenciales de un antiguo empleado de la compañía, como admitió la propia empresa.

Por lo tanto, aunque la iniciativa de Ledger para mejorar el sistema de firmas es un paso necesario, queda claramente demostrado que las empresas todavía tienen que perfeccionar sus protocolos de seguridad para salvaguardar las criptomonedas y los datos de sus clientes.