El fabricante de billeteras de hardware Ledger deshabilitará la firma ciega para 2024 y también se comprometió a reembolsar a los afectados por la vulnerabilidad de su Connect Kit que llevó a un hackeo la semana pasada.
***
- La empresa de billetera hardware Ledger está tomando medidas en respuesta al exploit reciente
- Anunció que descontinuará el proceso de firma ciega y en cambio habilitará la firma clara
- El Connect Kit de Ledger se vio comprometido la semana pasada, lo que derivó en un ataque a las DApps
- Ledger prometió compensar a las víctimas, sean o no usuarios de su billetera
Luego de un ataque de piratería de alto perfil que afectó al ecosistema de aplicaciones descentralizadas (DApps), Ledger ha está tomando cartas en el asunto para transmitir confianza a los usuarios.
En un mensaje de este miércoles, el proveedor de billeteras hardware de criptomonedas anunció que implementará cambios en los procesos de firma de transacciones y se comprometió a reembolsar a los afectados luego de una explotación que fue provocada por una vulnerabilidad en su Connect Kit, una biblioteca que permite a Ledger conectarse con el ecosistema de DApps.
“Estamos 100% concentrados en dar seguimiento al incidente de seguridad de la semana pasada, asegurándonos de que incidentes como este se prevengan en el futuro y que el ecosistema permanezca seguro“, escribió la empresa en su cuenta de X.
Ledger se asegurará de que las víctimas afectadas sean indemnizadas y se compromete a trabajar con el ecosistema DApp para permitir la firma clara y ya no permitir la firma ciega con dispositivos Ledger para junio de 2024.
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
Cambios en respuesta al hackeo reciente
La compañía con sede en Paris adelantó planes para deshabilitar la firma ciega para aplicaciones descentralizadas de EVM para junio de 2024. En cambio, planea habilitar un sistema conocido como firma clara o Clear Signing, en inglés.
“Nuestro compromiso es trabajar con la comunidad y el ecosistema DApp para permitir Clear Signing para que los usuarios puedan verificar todas las transacciones en los dispositivos Ledger antes de firmar. Esto conducirá a un nuevo estándar para proteger a los usuarios y fomentar la firma clara en todas las DApps”, escribió Ledger.
La firma ciega, como explica The Block, se refiere a un proceso en el que a un usuario se le presentan datos sin procesar, interpretables por computadoras pero ilegibles para los humanos. Se usa para aprobar transacciones en cadena con una clave privada. La firma clara, en cambio, resume una transacción para que un usuario la revise y comprenda antes de ejecutarla.
Clear Signing “significa que puede ver y verificar exactamente lo que firma en una pantalla segura“, escribió Ledger.
Los desarrolladores habían alertado el jueves pasado en redes sociales sobre un ataque dirigido a varias plataformas conocidas de finanzas descentralizadas (DeFi), incluida SushiSwap. Identificaron que la explotación estaba vinculada a una versión maliciosa del Connect Kit de Ledger. Muchos instaron en ese momento a mantenerse lejos de las DApps.
Ledger reembolsará a las víctimas
La vulnerabilidad fue confirmada poco después ese día por el equipo de Ledger. En una publicación de seguimiento, la empresa detalló que el ataque se produjo como resultado de que un ex empleado fuera víctima de un ataque de phishing.
El atacante pudo obtener acceso a la cuenta NPMJS del ex empleado, un administrador de paquetes JavaScript, lo que le permitió impulsar una versión maliciosa de Connect Kit. Luego, el Connect Kit malicioso redirigió los fondos de los usuarios desde cualquier billetera que se conectara a una DApp que lo usara, a la propia billetera del hacker, explicó Ledger.
Si bien la compañía eliminó el código malicioso después de identificarlo, los analistas independientes estimaron que ya se había producido pérdidas por alrededor de USD $600.000 para ese momento.
El fabricante de billetera reiteró esa cifra en su mensaje de este miércoles, y dijo que tanto los clientes de Ledger como los que no son de Ledger y que perdieron fondos debido a la explotación serán “compensados” dentro de los próximos tres meses.
“Nos comprometemos, por cualquier forma posible, incluidos gestos de buena voluntad, a garantizar que esto se haga antes de finales de febrero de 2024. Ya estamos en contacto con muchos usuarios afectados y estamos trabajando activamente en los detalles específicos con ellos“, dijo la empresa, incitando al resto de los afectados a comunicarse con su centro de ayuda.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.