CEO de Ledger: el ataque «fue un desafortunado evento aislado»

La del 14 de diciembre fue una jornada marcada por la preocupación para usuarios y creadores de aplicaciones descentralizadas (dApps). Ledger, fabricante de software y hardware wallets, confirmó un ataque de ciberseguridad a su librería Ledger Connect Kit, ampliamente utilizada en el desarrollo de aplicaciones web3, por un mal manejo de las credenciales de un exempleado de la compañía.

El CEO de Ledger, Pascal Gauthier, calificó el incidente como «un desafortunado evento aislado». «La práctica estándar en Ledger es que ninguna persona puede implementar código sin revisión de múltiples partes. Contamos con fuertes controles de acceso, revisiones internas y firmas múltiples de código en la mayoría de nuestras áreas de desarrollo», comenzó.

«Esto es válido en el 99% de nuestros sistemas internos. Cualquier empleado que abandona la empresa tiene su acceso revocado de todos los sistemas de Ledger», prosiguió Gauthier, quien luego admitió que todas estas buenas prácticas no se concretaron y dieron lugar al desafortunado evento de ayer.

«Es un recordatorio de que la seguridad no es estática y que Ledger debe mejorar continuamente nuestros sistemas y procesos de seguridad», reflexionó el presidente y CEO de la compañía. En este sentido, prometió que la empresa va a implementar «controles de seguridad más sólidos».

También es un recordatorio de que colectivamente debemos seguir elevando el estándar de seguridad en torno a las DApps, donde los usuarios participan en firmas basadas en el navegador. En esta ocasión, fue el servicio de Ledger el que fue explotado, pero en el futuro esto podría ocurrir con otro servicio o biblioteca.

Pascal Gauthier, CEO y presidente de Ledger.

Una potencial mejora de seguridad que recomienda Gauthier son las «firmas claras» en todas las dApps. Propone que el usuario vea claramente y de forma confiable lo que está firmando, para así evitar la ejecución involuntaria de transacciones maliciosas, como ocurrió en este caso.

Un hack puso en riesgo a numerosas dApps

Como informó CriptoNoticias, ocurrió que un hacker accedió a la cuenta NPM (Node Package Manager) de un exempleado de Ledger. Así, pudo entrar a la plataforma donde Ledger comparte este tipo de herramientas para desarrolladores e ingresar código malicioso en algunas versiones de Ledger Connect Kit.

El ataque afectaba al frontend de las dApps de Ethereum y otras redes que usaban el kit de Ledger para la interfaz de usuario. Es decir que una persona podía estar interactuando con una dApp alterada sin darse cuenta de ello.

La compañía aseguró haber reemplazado la librería maliciosa en menos de 40 minutos, pero sugirió evitar el uso de Ledger Connect Kit por al menos 24 horas. Antes de llegar a esa solución, hubo un lapso de aproximadamente dos horas en el que el hacker pudo redirigir fondos de los usuarios de diversas dApps a su wallet mediante una versión corrupta de Wallet Connect.

La compañía Tether congeló una parte de esas criptomonedas, extraídas a usuarios de dApps y protocolos DeFi, con los cuales Ledger asegura estar en comunicación para ayudarlos a solucionar sus pérdidas.