A la luz del reciente hackeo a Ledger, el presidente y director ejecutivo del protocolo de finanzas descentralizadas (DeFi), Pascal Gauthier, ha dado sus declaraciones.
Ataque reconocido y explicado de Ledger
Gauthier comenzó reconociendo el reciente exploit que implicó la inyección de un código malicioso en la biblioteca Javascript de Ledger y afectó principalmente a versiones superiores a la 1.1.4, es decir, a las versiones 1.1.5, 1.1.6 y 1.1.7. Además, explicó que el hack se debió a una laguna aprovechada por el pirata informático.
Cabe destacar que, se dio luego de que un ex empleado fuera víctima de un ataque de phishing que eventualmente le permitió el acceso a un mal actor para cargar un archivo malicioso en el NPMJS de Ledger. Este NPMJS es un administrador de paquetes para códigos Javascript compartido entre aplicaciones.
Ledger entró en acción de inmediato para salvar la situación con el apoyo de WalletConnect, su socio. Inmediatamente, se eliminó el NPMJS y el archivo malicioso se desactivó.
Todo esto sucedió cuarenta minutos después del descubrimiento del exploit, por lo que, Gauthier destacó la alianza como una buena referencia del trabajo conjunto de la industria para abordar los desafíos de seguridad que afectan al ecosistema.
Se acabó el miedo a las jugadas de piratas informáticos
Normalmente, ninguna persona tiene el poder exclusivo de implementar códigos en ConnectKit de Ledger, ya que requeriría que otras partes revisen la transacción. Al mismo tiempo, Gauthier aclaró que a todo empleado que abandona la empresa en cualquier momento y por cualquier motivo, siempre se le revoca de inmediato la entrada a los sistemas Ledger.
Antes de salir de la empresa, los empleados tienen acceso a controles, revisiones internas y especialmente a un código de firmas múltiples, ya que tiene que ver con la mayor parte del desarrollo de Ledger. Además, Gauthier indicó que el protocolo DeFi había absorbido previamente estrategias de seguridad para proteger a los inversores.
Sin embargo, el último ataque es una prueba clara y un recordatorio de que la seguridad no es estática. Por lo tanto, “Ledger debe mejorar continuamente nuestros sistemas y procesos de seguridad. En esta área, Ledger implementará controles de seguridad más estrictos, conectando nuestro proceso de construcción que implementa una estricta seguridad de la cadena de suministro de software con el canal de distribución de NPM”.
Vale destacar que, ahora se creó una nueva versión del kit Ledger Connect y se recomienda a los usuarios que deseen seguir utilizando la herramienta que actualicen a esta versión. Una vez instalada la versión 1.1.8 del Ledger Connect Kit, es posible que los usuarios tengan que esperar hasta 24 horas antes de activarlo.
Hasta ahora, todo pinta bien y Gauthier aseguró a los usuarios que la situación ya está bajo control y que “la amenaza ha pasado”.
De igual forma, este exploit se seguirá investigando y Ledger ayudará a las personas afectadas a tratar de recuperar sus fondos, los cuales según Cointelegraph se estima que el hacker drenó 504,000 dólares.
