Ledger corrige el fallo que puso en peligro a numerosas aplicaciones descentralizadas

En la jornada del jueves 14 de diciembre, usuarios, desarrolladores y todos los allegados a cualquier aplicación descentralizada (dApp) recibieron una señal de alarma. Se debía a que la librería Ledger Connect Kit, ampliamente utilizada en este contexto, fue víctima de un ataque de ciberseguridad.

Luego de varias horas de preocupación, e incluso tras la confirmación oficial de la brecha de seguridad por parte de Ledger, parece haber llegado la calma. La compañía, que fabrica también hardware wallets —que no estuvieron en riesgo en este caso—, comunicó que ya reemplazó la librería maliciosa por una versión auténtica, la cual «se está propagando automáticamente». De todos modos, Ledger recomienda no usar Ledger Connect Kit por al menos 24 horas.

La raíz de todo el problema fue que un empleado de Ledger sufrió un ataque de phishing mediante el cual se filtró su acceso a su cuenta NPM (Node Package Manager). NPM es un sistema de gestión de paquetes para Node.js, una plataforma de desarrollo de aplicaciones JavaScript. Una cuenta en esa plataforma permite a los desarrolladores publicar, administrar y compartir sus paquetes de software con la comunidad.

Así, el hacker publicó una versión maliciosa de Ledger Connect Kit en sus versiones 1.1.4, 1.1.5 y 1.1.6. Usó además una versión corrupta de Wallet Connect para dirigir a una wallet propia los fondos de los usuarios que interactuaban con Ledger Connect Kit en dApps y DeFi.

Según explicaron fuentes con experticia en la temática, y como reportó CriptoNoticias, la vulnerabilidad en las versiones mencionadas de Ledger Connect Kit daba la posibilidad de introducir código malicioso en el frontend de una dApp. En otras palabras, el atacante podía hacer que los usuarios interactuaran con una interfaz alterada sin que se dieran cuenta.

Ledger dice haber solucionado la brecha de seguridad en menos de 40 minutos. Sin embargo, la vulnerabilidad estuvo activa por un periodo cercano a las 5 horas, con una ventana de dos horas aproximadamente en la que se pudieron haber robado fondos de los usuarios.

En este sentido, la empresa dice estar en comunicación con los clientes cuyos fondos podrían haber sido afectados y «trabajando de manera proactiva» para ayudar a esas personas. Además, Ledger comunicó que está «presentando una denuncia y colaborando con las autoridades policiales en la investigación para identificar al atacante».

La compañía instó a los desarrolladores a comprobar si están usando la última versión de Ledger Connect Kit, la v. 1.1.8. Asimismo, todavía hay medidas de seguridad adicionales que se deben tomar para estar a salvo. Al respecto, el desarrollador Mudit Gupta, jefe de seguridad informática en Polygon Labs, recomendó revisar la memoria caché en busca del código alterado.

«Para asegurarte de que no tengas la biblioteca maliciosa almacenada en caché, ve a https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 y asegúrate de que la versión sea 1.1.8. Si no es así, borra tu caché», escribió en la red social X (antes Twitter).

Al finalizar su comunicado, Ledger agradeció la colaboración de otras empresas, como Chainalysis, que ayudó a identificar la supuesta wallet del atacante, y a Tether, que congeló los fondos en USDT en esa dirección. La participación de Wallet Connect, que rápidamente deshabilitó la versión corrupta de su software que usó el atacante, también es destacada en el comunicado.