Ledger resolvió un exploit que permitía a los piratas informáticos drenar fondos de las billeteras de los usuarios a través del Ledger Connect Kit. La empresa informó del exploit el 14 de julio de 2023, y la versión 1.1.8 del kit, que lo corrige, se está propagando automáticamente.
El exploit se produjo después de que un ex empleado de Ledger fuera víctima de un ataque de phishing. Esto le dio a los piratas informáticos acceso a su cuenta NPMJS.
Los piratas informáticos utilizaron la cuenta para publicar una versión maliciosa del Ledger Connect Kit. Esta contenía código malicioso que redirigiría los fondos a una billetera de su propiedad.
Ledger fue alertado del exploit y implementó una solución 40 minutos después de darse cuenta.
Congelados los fondos de los piratas de Ledger
El archivo malicioso estuvo activo durante aproximadamente 5 horas; sin embargo, Ledger cree que la ventana en la que se drenaron los fondos se limitó a un período de menos de dos horas.
Ledger se ha coordinado con WalletConnect, que rápidamente desactivó el proyecto fraudulento.
Para los constructores que están desarrollando e interactuando con el código del kit Ledger Connect, el equipo de desarrollo del kit de conexión en el proyecto NPM ahora es de solo lectura. No puede impulsar directamente el paquete NPM por razones de seguridad.
Ledger también rotó internamente los secretos para publicarlos en GitHub.
Ledger, junto con WalletConnect y sus socios, informaron la dirección de la billetera del mal actor. La dirección ahora es visible en Chainalysis. Tether congeló el USDT del mal actor.
La compañía recuerda a los usuarios que siempre deben borrar el signo con su libro mayor. Lo que ven en la pantalla del Libro mayor es lo que realmente firman. Si aún necesitan realizar una firma ciega, usen una billetera Ledger mint adicional o analice su transacción manualmente.
La empresa está hablando activamente con clientes cuyos fondos podrían haberse visto afectados y trabajando de manera proactiva para ayudar a esas personas en este momento. También está presentando una denuncia y trabajando con las autoridades en la investigación para encontrar al atacante.
Se está estudiando el exploit para evitar futuros ataques
La empresa cree que la dirección del atacante donde se drenaron los fondos está aquí: 0x658729879fca881d9526480b82ae00efc54b5c2d
Esta empresa agradeció a WalletConnect, Tether, Chainalysis, Zachxbt y a toda la comunidad que ayudó y continúa ayudando a identificar y resolver este ataque. Concluyó que la seguridad siempre prevalecerá con la ayuda de todo el ecosistema.
Estudiante de diseño gráfico. Ilustradora. Explorando la criptografía, la blockchain y haciendo NFT.