Ataque a Ledger muestra que "no ha aprendido nada" tras varias brechas

Miembros de la comunidad cripto han publicado sus respuestas al exploit Ledger Connect Kit que afectó a múltiples aplicaciones descentralizadas (DApps) a través del espacio Web3.

El 14 de diciembre, un hacker atacó el front-end de múltiples DApps utilizando el conector de Ledger. El atacante accedió a importantes aplicaciones como SushiSwap, Phantom y Revoke.cash y robó al menos USD 484,000 en activos digitales.

Ledger anunció que había solucionado el problema tres horas después de los informes iniciales sobre el ataque. El CEO de la firma, Pascal Gauthier, dijo que se trataba de un incidente aislado y señaló que están trabajando con las fuerzas de seguridad pertinentes para encontrar al hacker y "llevarlo ante la justicia".

Mientras Ledger afirma que fue un hecho aislado, Linea, un rollup de conocimiento cero de Consensys, advirtió a los usuarios de Web3 que la vulnerabilidad podría afectar a todo el ecosistema de Ethereum Virtual Machine (EVM).

Un día después del incidente, los miembros de la comunidad acudieron a X (Twitter) para expresar sus sentimientos sobre el incidente de Ledger. Algunos aconsejaron a sus seguidores que utilizaran otras plataformas de billeteras, mientras que otros pidieron a Ledger que lo abriera todo.

Ledger’s security explained pic.twitter.com/6hTeXYVWco

— Crypto PM (@CryptoPM_) December 15, 2023

El 15 de diciembre, Brad Mills, partidario de Bitcoin (BTC), dijo a sus seguidores de X que utilizaran sólo hardware Bitcoin construido por ingenieros de Bitcoin centrados en asegurar BTC. Mills instó a los miembros de la comunidad a no incorporar nunca a sus amigos a BTC con billeteras de hardware Ledger o Trezor.

En 2020, otro incidente de Ledger provocó la filtración de información de usuarios como direcciones postales, números de teléfono y direcciones de correo electrónico. En referencia a las anteriores filtraciones de Ledger, el desarrollador de Ethereum Name Service Nick Johnson dijo en un post que nadie debería recomendar su hardware ni utilizar sus librerías.

Okay, so it’s clear @Ledger has learned nothing about opsec from multiple breaches. At this point I don’t think anyone should in good conscience recommend their hardware or use their libraries.

— nick.eth (@nicksdjohnson) December 15, 2023

Vale, está claro que @Ledger no ha aprendido nada sobre protección de sistemas operativos de las múltiples infracciones. En este punto, no creo que nadie deba en buena conciencia recomendar su hardware o utilizar sus bibliotecas.

De acuerdo con Johnson, Ledger mostró un desprecio constante por la seguridad operativa y ya no merece el "beneficio de la duda de que van a mejorar".

Mientras tanto, el trader y analista de criptomonedas Krillin criticó a Ledger y les llamó la atención por pasar un día eliminando comentarios negativos bajo sus publicaciones en X.

Durante el hackeo del 14 de diciembre, el atacante utilizó un exploit de phishing para obtener acceso a la computadora de un ex empleado de Ledger. Se accedió a la cuenta JavaScript del gestor de paquetes de nodos del empleado, lo que provocó la brecha.

Tras el ataque, un miembro de la comunidad aconsejó a Ledger que "abriera todo" y dejara que la comunidad fuera su "cirujano" para reconstruirlo. La empresa anunció el 24 de mayo que había abierto muchas de sus aplicaciones y que se comprometía a abrir más partes de su código.

Según los miembros de la comunidad, la transparencia no es un lujo, sino un salvavidas. "La confianza, una vez perdida, exige vetas abiertas, no promesas veladas".

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.