La empresa que se consideraba como el gran referente cripto en el campo de la seguridad ha tenido un 2023 para olvidar. Tras la polémica con Ledger Recover, ahora se le junta un problema todavía más grave. Sus sistemas conectados han sido comprometidos.
Una brecha de seguridad en el Ledger Connect Kit. La propia compañía ha comunicado oficialmente este hackeo. Lo que se sabe es que el pasado 14 de diciembre, Ledger sufrió un exploit en el Ledger Connect Kit, una librería de Javascript que conecta sitios web con los wallets de Ledger.
El hackeo ha afectado a terceros que utilizaban este kit para sincronizarse, no así a los monederos fríos. Según explica Ledger, la industria ha colaborado para neutralizar el ataque y congelar los fondos robados afectados.
Se desconoce cuánto ha sido robado. Todavía no está claro cuántas aplicaciones descentralizadas han sido afectadas. Algunas firmas como Blockaid informan de que al menos habrían perdido unos 150.000 dólares en cripto. Según describe ZachXBT, se habrían perdido unos 610.000 dólares. La cifra puede variar ampliamente en función del usuario afectado.
Desde Ledger no dan un dato concreto de las cripto afectadas, aunque afirman que el exploit estuvo activo de manera efectivo durante menos de dos horas. Un breve periodo de tiempo, pero suficiente para sustraer una gran cantidad de criptomonedas.
UPDATE: The genuine Ledger Connect Kit 1.1.8 is now fully propagated. Ledger and WalletConnect can confirm that the malicious code was deactivated. You are now safe to use your Ledger Connect Kit. Reminder that that we always encourage clear signing.
— Ledger (@Ledger) December 14, 2023
Un problema asociado a la descentralización. Los hackeos en el mundo cripto son habituales y hay que entenderlo como parte de las desventajas de los sistemas descentralizados. Al existir tantos servicios y aplicaciones de terceros, es habitual que no todas las actualizaciones hayan sido correctamente auditadas y testeadas. Simplemente por una cuestión de recursos y tamaño de los implicados.
El origen: un empleado fue víctima de phishing. Es la técnica más habitual para conseguir un hackeo. Infiltrarse en los sistemas internos engañando con phishing a un empleado con acceso a determinadas características. Así ha ocurrido ahora con Ledger, según describe la propia compañía.
El exploit fue fruto del engaño a un ex-empleado, que permitió a los atacantes subir un archivo malicioso a la herramienta interna de Ledger que controla el código Javascript entre aplicaciones. Una vez detectado, se tardó 40 minutos en desactivar el código y actualizar la herramientas.
Un 1% que eclipsa todo el trabajo. Ledger define lo ocurrido como un "desafortunado incidente aislado". La compañía explica que en el 99% de sus procesos internos, no hay una única persona que pueda subir código a sus sistemas. Que eso pasa por revisiones de múltiples equipos y hay estrictos controles de seguridad. Al mismo tiempo, reconocen que deben seguir aumentando sus estándares.
Ledger explica que ya ha empezado a colaborar con las autoridades para investigar este asunto y que trabajará para que los activos financieros robados puedan ser devueltos.
Imagen | Amjith S
Ver 8 comentarios