El 14 de diciembre de 2023, Ledger experimentó un exploit en su Connect Kit, una biblioteca de JavaScript esencial para la conexión de sitios web con billeteras cripto. Este incidente ha resaltado la importancia de la colaboración en la industria cripto y la necesidad de prácticas de seguridad robustas. En este artículo, exploramos las acciones tomadas por Ledger y la comunidad cripto para neutralizar este exploit y las lecciones aprendidas de este evento.
Desarrollo del Incidente
El exploit fue resultado de un ataque de phishing a un ex empleado de Ledger, permitiendo a un actor malicioso subir un archivo malicioso al sistema de gestión de paquetes NPMJS. La rápida respuesta de Ledger, en colaboración con WalletConnect, llevó a la neutralización del exploit en menos de 40 minutos tras su descubrimiento:
- Origen del Exploit: El exploit surgió debido a un ataque de phishing dirigido a un ex empleado de Ledger. El atacante logró obtener acceso a la cuenta NPMJS del empleado, un sistema de gestión de paquetes ampliamente utilizado para el código JavaScript.
- Publicación del Código Malicioso: Utilizando el acceso adquirido, el atacante publicó una versión maliciosa del Ledger Connect Kit, afectando las versiones 1.1.5, 1.1.6 y 1.1.7. Este kit es una biblioteca de JavaScript que facilita la conexión de sitios web con billeteras de criptomonedas.
- Mecanismo del Ataque: El código malicioso usaba un proyecto fraudulento de WalletConnect para redirigir fondos a una cartera controlada por el hacker. Esto comprometía la seguridad de las transacciones al alterar la dirección de destino de los fondos.
- Respuesta Rápida de Ledger: Tras ser alertados del problema, los equipos de tecnología y seguridad de Ledger desplegaron una solución en aproximadamente 40 minutos. Esta rápida respuesta limitó el tiempo de actividad del archivo malicioso a unas 5 horas, con una ventana de tiempo efectiva de drenaje de fondos de menos de dos horas.
- Colaboración con WalletConnect: Ledger coordinó con WalletConnect, quien desactivó rápidamente el proyecto fraudulento, y ayudó a propagar la versión segura y verificada del Ledger Connect Kit (versión 1.1.8).
- Medidas de Seguridad Posterior al Incidente: Para prevenir incidentes futuros, Ledger ha implementado controles de seguridad más rigurosos. Esto incluye hacer que el equipo de desarrollo del connect-kit en el proyecto NPM sea de solo lectura, evitando que puedan subir directamente el paquete NPM. Además, se han rotado internamente los secretos para publicar en el GitHub de Ledger.
- Colaboración con las Autoridades y la Comunidad: Ledger ha colaborado con las autoridades y está trabajando para ayudar a los individuos afectados a recuperar los fondos. También se han tomado medidas para identificar y llevar ante la justicia al atacante, incluyendo el seguimiento de los fondos robados y la colaboración con la fuerza del orden.
Medidas de Seguridad y Respuesta de la Comunidad
El CEO de Ledger, Pascal Gauthier, enfatizó la importancia de la firma clara (ClearSign) en las transacciones, un método que permite a los usuarios verificar en sus dispositivos Ledger lo que están firmando. Además, destacó la rápida actuación de Tether y Chainalysis en la congelación de fondos y la visibilidad del atacante en la cadena de bloques.
Este incidente sirve como un recordatorio de que la seguridad en el mundo de las criptomonedas es un esfuerzo continuo y dinámico. Ledger ha anunciado la implementación de controles de seguridad más estrictos y la conexión de su canal de distribución NPM con sistemas de seguridad de software más robustos.
La reciente brecha de seguridad en Ledger es un claro ejemplo de cómo la rápida acción y colaboración en la industria cripto pueden mitigar eficazmente los riesgos de seguridad. A medida que la tecnología blockchain sigue evolucionando, la importancia de prácticas de seguridad sólidas y la cooperación de toda la comunidad se vuelven cada vez más esenciales.
