\n<\/p>\n
Los piratas inform\u00e1ticos comprometieron el c\u00f3digo detr\u00e1s de un protocolo criptogr\u00e1fico utilizado por m\u00faltiples aplicaciones y servicios web3, dijo el jueves el fabricante de software Ledger.<\/p>\n
Ledger, una empresa que fabrica una billetera de software y hardware criptogr\u00e1fico ampliamente utilizada y popular, entre otros productos, anunci\u00f3 en X (anteriormente Twitter) que alguien hab\u00eda lanzado una \u201cversi\u00f3n maliciosa\u201d de su Ledger Connect Kit<\/a>una biblioteca que utilizan aplicaciones descentralizadas (dApps) creadas por otras empresas y proyectos para conectarse al servicio de billetera Ledger.<\/p>\n \u201cAhora se est\u00e1 lanzando una versi\u00f3n genuina para reemplazar el archivo malicioso. No interact\u00faes con ninguna dApp por el momento. Los mantendremos informados a medida que evolucione la situaci\u00f3n\u201d, escribi\u00f3 Ledger.<\/p>\n Poco despu\u00e9s, Ledger publicado una actualizaci\u00f3n<\/a> diciendo que los piratas inform\u00e1ticos hab\u00edan reemplazado la versi\u00f3n original de su software unas seis horas antes y que la compa\u00f1\u00eda estaba investigando el incidente y \u00abproporcionar\u00eda un informe completo tan pronto como est\u00e9 listo\u00bb.<\/p>\n Despu\u00e9s de que se public\u00f3 esta historia, el portavoz de Ledger, Phillip Costigan, comparti\u00f3 m\u00e1s detalles sobre el hack con TechCrunch. y en x<\/a>. Costigan dijo que un ex empleado de Ledger fue v\u00edctima de un ataque de phishing el jueves, que les dio a los piratas inform\u00e1ticos acceso a la cuenta NPMJS de su ex empleado, que es un registro de software adquirido por GitHub. A partir de ah\u00ed, los piratas inform\u00e1ticos publicaron una versi\u00f3n maliciosa del Ledger Connect Kit.<\/p>\n \u00abEl c\u00f3digo malicioso utiliz\u00f3 un proyecto falso de WalletConnect para redirigir fondos a una billetera de piratas inform\u00e1ticos\u00bb, dijo Costigan. <\/span><\/p>\n Luego, Ledger implement\u00f3 una soluci\u00f3n dentro de los 40 minutos posteriores a que la empresa se diera cuenta del hack. El archivo malicioso, sin embargo, estuvo activo durante aproximadamente 5 horas, pero \u00abel per\u00edodo en el que se drenaron los fondos se limit\u00f3 a un per\u00edodo de menos de dos horas\u201d, seg\u00fan Costigan.<\/span><\/p>\n Ledger tambi\u00e9n \u00abcoordin\u00f3\u00bb con WalletConnect, que \u00abr\u00e1pidamente desactiv\u00f3 el proyecto deshonesto\u201d, esencialmente deteniendo el ataque, seg\u00fan Costigan. <\/span><\/p>\n Costigan tambi\u00e9n dijo que Ledger lanz\u00f3 una actualizaci\u00f3n de software genuina que es \u00absegura de usar\u00bb.<\/p>\n \u00abEstamos hablando activamente con clientes cuyos fondos podr\u00edan haber sido afectados y trabajando de manera proactiva para ayudar a esas personas en este momento\u00bb, dijo el portavoz, y agreg\u00f3 que la compa\u00f1\u00eda cree haber identificado la billetera de los piratas inform\u00e1ticos. <\/span><\/p>\n La compa\u00f1\u00eda dice que ha vendido seis millones de unidades de su billetera de hardware y que 1,5 millones de usuarios utilizan Ledger Live, su equivalente de software. No se cree que la billetera de hardware Ledger se haya visto afectada por el hack.<\/p>\n Tal Be’ery, cofundador de la billetera criptogr\u00e1fica ZenGo, dijo a TechCrunch que los piratas inform\u00e1ticos esencialmente lanzaron una versi\u00f3n maliciosa del software que fue dise\u00f1ada para enga\u00f1ar a los usuarios para que conectaran sus billeteras y activos a la versi\u00f3n maliciosa del software.<\/p>\n \t\t\u00bfTienes m\u00e1s informaci\u00f3n sobre este truco? Nos encantar\u00eda saber de usted. Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electr\u00f3nico lorenzo@techcrunch.com. Tambi\u00e9n puede ponerse en contacto con TechCrunch a trav\u00e9s de SecureDrop.\t<\/p>\n Eso permitir\u00eda a los piratas inform\u00e1ticos vaciar las criptomonedas dentro de las billeteras de los usuarios, siempre y cuando los usuarios aceptaran la presi\u00f3n para conectar sus billeteras a la versi\u00f3n maliciosa de Ledger.<\/p>\n No est\u00e1 claro de inmediato cu\u00e1ntas personas fueron v\u00edctimas del ataque. ZachXBT, un conocido investigador criptogr\u00e1fico independiente, escribi\u00f3 en X que una v\u00edctima<\/a> se le retiraron m\u00e1s de $600,000 en criptomonedas de su cuenta.<\/p>\n Varios investigadores de seguridad de blockchain, as\u00ed como personas que trabajan en la industria web3, advirtieron a los usuarios en las redes sociales sobre el hackeo de la cadena de suministro contra Ledger.<\/p>\n Matthew Lilley, director de tecnolog\u00eda de la plataforma de comercio de criptomonedas Sushi, fue uno de los primeros en detectar el ataque y compartir la noticia.<\/p>\n \u201cRecomendar\u00eda nunca interactuar con un [decentralized app] nunca m\u00e1s y, sinceramente, sigue adelante con tu vida\u201d, dijo Joseph Delong, director de tecnolog\u00eda de la plataforma de pr\u00e9stamos NFT AstariaXYZ. brome\u00f3 en X<\/a>en referencia al hecho de que Ledger utiliza el lenguaje de programaci\u00f3n notoriamente inseguro JavaScript.<\/p>\n ACTUALIZACI\u00d3N, 14 de diciembre a las 11:28 am ET<\/strong>: Esta historia se actualiz\u00f3 para incluir m\u00e1s detalles sobre el ataque, proporcionados por el portavoz de la empresa.<\/em><\/p>\n<\/p><\/div>\nCont\u00e1ctenos<\/h4>\n