Pérdidas reportadas, se insta a los usuarios a tener precaución
BlockAid, una empresa de ciberseguridad especializada en seguridad Web3, reveló que se han incurrido en pérdidas sustanciales de aproximadamente 150.000 dólares debido a la integración del código malicioso en sitios web activos. Sin embargo, Ledger aseguró a los usuarios que mientras se abstengan de realizar transacciones, sus activos estarán seguros.
Ido Ben-Natan, CEO de Ledger, enfatizó que el exploit no podría llevarse a cabo sin la confirmación previa del usuario, pero reconoció que muchos sitios web se vieron afectados y advirtió sobre el posible impacto en los usuarios.
SushiSwap, una plataforma de intercambio descentralizada, abordó el problema en su plataforma y reconoció el compromiso en el conector de Ledger, que podría permitir la inyección de código malicioso en varias aplicaciones descentralizadas (dApps).
Medidas cautelares de Revoke.cash y Ledger
Como medida de seguridad, Revoke.cash, un servicio que permite a los usuarios recuperar capacidades de firma de transacciones otorgadas a aplicaciones Web3, suspendió temporalmente sus operaciones de front-end para evitar el engaño del usuario.
Ben-Natan advirtió específicamente contra las interacciones con Revoke.cash, dada su vulnerabilidad al ataque. La cuenta oficial de Ledger confirmó el posible vector de ataque y afirmó que el código malicioso ya ha sido eliminado.
La nueva versión del software de Ledger se está propagando actualmente y se espera que neutralice la amenaza por completo una vez activada, dependiendo del almacenamiento en caché de las dApps de terceros.
Permanecer cauteloso e informado
Si bien el código malicioso surgió recientemente y puede provocar el robo de fondos solo si se toman medidas adicionales, los expertos recomiendan tener precaución y abstenerse de utilizar aplicaciones web criptográficas. WalletConnect, una interfaz ampliamente utilizada por desarrolladores de dApps sin integración directa con Ledger, también emitió una advertencia a los usuarios.
Philip Costigan, jefe de relaciones públicas de Ledger, instó a los usuarios a evitar interactuar con cualquier dApp por el momento y les aseguró actualizaciones periódicas a medida que se desarrolle la situación.
En incidentes anteriores, como el ataque a la plataforma de venta de tokens SushiSwap, los usuarios perdieron aproximadamente 865 ETH ($3 millones en ese momento y $2 millones actualmente). Estos ataques implicaron manipulación de DNS para redirigir a usuarios desprevenidos a versiones falsificadas de sitios web de plataformas genuinas, lo que llevó a que los fondos fueran redirigidos a los atacantes.
Actualizado el 14 de diciembre de 2023 a las 8:34 a. m. ET, 8:53 a. m. ET, 9:03 a. m. ET y 9:15 a. m. ET con información adicional y comentarios de Ledger y BlockAid.