Expertos en ciberseguridad advirtieron sobre un riesgo inminente para los usuarios de aplicaciones descentralizadas (dApps) después de que la librería Ledger Connect Kit, utilizada en la web3 para configurar aplicaciones, fuera comprometida por un ataque que permite la inyección de código malicioso.
Matthew Lilley, Jefe de tecnología de SushiSwap, fue uno de los primeros en instar a los usuarios a abstenerse de usar dApps y protocolos de finanzas descentralizadas (DeFi) hasta tener más información. Según información de PeckShield Alerts, protocolos como Zapper y la dApp de Revoke Cash también fueron afectados, incluso esta última está fuera de línea mientras se resuelve el problema.
???????????? RED ALERT ????????????:
— I'm Software ???????? (@MatthewLilley) December 14, 2023
Do not interact with ANY dApps until further notice. It appears that a commonly used web3 connector has been compromised which allows for injection of malicious code affecting numerous dApps.
La librería Ledger Connect Kit es esencial para muchos frontends en dApps y protocolos DeFi, siendo el "frontend" la interfaz de usuario que interactúa directamente con los usuarios. A pesar de ser desarrollado por Ledger, los riesgos no se limitan a los usuarios de las wallets de la empresa, ya que cualquier persona que interactúe con una dApp que utilice esta librería podría estar en peligro.
La vulnerabilidad radica en la cuenta de Content Delivery Network (CDN) desde la cual Ledger Connect Kit carga su JavaScript, que fue comprometida, permitiendo la inyección de JavaScript malicioso en varias aplicaciones descentralizadas. BlackAid, una empresa de ciberseguridad, informó que todas las versiones de Ledger Connect Kit inferiores a la 1.1.4 fueron afectadas en este ataque.
Ledger emitió un comunicado confirmando el problema y anunciando la eliminación de la versión maliciosa de Ledger Connect Kit. Además, aconsejaron a los usuarios no interactuar con ninguna dApp por el momento. También aseguraron que las hardware wallets Ledger y su aplicación Ledger Live no se ven afectadas por la vulnerabilidad.
Mudit Gupta, jefe de seguridad informática de Polygon Labs, declaró que la vulnerabilidad ya fue resuelta y proporcionó instrucciones para verificar y eliminar cualquier rastro del código malicioso en la memoria caché, brindando a los usuarios medidas para garantizar su seguridad en línea.
