Los piratas informáticos comprometieron el código detrás de un protocolo criptográfico utilizado por múltiples aplicaciones y servicios web3, dijo el jueves el fabricante de software Ledger.
Ledger, una empresa que fabrica una billetera de software y hardware criptográfico ampliamente utilizada y popular, entre otros productos, anunció en X (anteriormente Twitter) que alguien había lanzado una “versión maliciosa” de su Ledger Connect Kituna biblioteca que utilizan aplicaciones descentralizadas (dApps) creadas por otras empresas y proyectos para conectarse al servicio de billetera Ledger.
“Ahora se está lanzando una versión genuina para reemplazar el archivo malicioso. No interactúes con ninguna dApp por el momento. Los mantendremos informados a medida que evolucione la situación”, escribió Ledger.
Poco después, Ledger publicado una actualización diciendo que los piratas informáticos habían reemplazado la versión original de su software unas seis horas antes y que la compañía estaba investigando el incidente y «proporcionaría un informe completo tan pronto como esté listo».
Después de que se publicó esta historia, el portavoz de Ledger, Phillip Costigan, compartió más detalles sobre el hack con TechCrunch. y en x. Costigan dijo que un ex empleado de Ledger fue víctima de un ataque de phishing el jueves, que les dio a los piratas informáticos acceso a la cuenta NPMJS de su ex empleado, que es un registro de software adquirido por GitHub. A partir de ahí, los piratas informáticos publicaron una versión maliciosa del Ledger Connect Kit.
«El código malicioso utilizó un proyecto falso de WalletConnect para redirigir fondos a una billetera de piratas informáticos», dijo Costigan.
Luego, Ledger implementó una solución dentro de los 40 minutos posteriores a que la empresa se diera cuenta del hack. El archivo malicioso, sin embargo, estuvo activo durante aproximadamente 5 horas, pero «el período en el que se drenaron los fondos se limitó a un período de menos de dos horas”, según Costigan.
Ledger también «coordinó» con WalletConnect, que «rápidamente desactivó el proyecto deshonesto”, esencialmente deteniendo el ataque, según Costigan.
Costigan también dijo que Ledger lanzó una actualización de software genuina que es «segura de usar».
«Estamos hablando activamente con clientes cuyos fondos podrían haber sido afectados y trabajando de manera proactiva para ayudar a esas personas en este momento», dijo el portavoz, y agregó que la compañía cree haber identificado la billetera de los piratas informáticos.
La compañía dice que ha vendido seis millones de unidades de su billetera de hardware y que 1,5 millones de usuarios utilizan Ledger Live, su equivalente de software. No se cree que la billetera de hardware Ledger se haya visto afectada por el hack.
Tal Be’ery, cofundador de la billetera criptográfica ZenGo, dijo a TechCrunch que los piratas informáticos esencialmente lanzaron una versión maliciosa del software que fue diseñada para engañar a los usuarios para que conectaran sus billeteras y activos a la versión maliciosa del software.
Contáctenos
¿Tienes más información sobre este truco? Nos encantaría saber de usted. Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Eso permitiría a los piratas informáticos vaciar las criptomonedas dentro de las billeteras de los usuarios, siempre y cuando los usuarios aceptaran la presión para conectar sus billeteras a la versión maliciosa de Ledger.
No está claro de inmediato cuántas personas fueron víctimas del ataque. ZachXBT, un conocido investigador criptográfico independiente, escribió en X que una víctima se le retiraron más de $600,000 en criptomonedas de su cuenta.
Varios investigadores de seguridad de blockchain, así como personas que trabajan en la industria web3, advirtieron a los usuarios en las redes sociales sobre el hackeo de la cadena de suministro contra Ledger.
Matthew Lilley, director de tecnología de la plataforma de comercio de criptomonedas Sushi, fue uno de los primeros en detectar el ataque y compartir la noticia.
“Recomendaría nunca interactuar con un [decentralized app] nunca más y, sinceramente, sigue adelante con tu vida”, dijo Joseph Delong, director de tecnología de la plataforma de préstamos NFT AstariaXYZ. bromeó en Xen referencia al hecho de que Ledger utiliza el lenguaje de programación notoriamente inseguro JavaScript.
ACTUALIZACIÓN, 14 de diciembre a las 11:28 am ET: Esta historia se actualizó para incluir más detalles sobre el ataque, proporcionados por el portavoz de la empresa.