En un incidente preocupante se registró en la mañana de este 14 de diciembre. Diversas aplicaciones descentralizadas (DApps) que emplean el conector de Ledger, una librería ampliamente utilizada en web3 para configurar aplicaciones como Zapper, SushiSwap y Revoke.cash, que se vieron comprometidas por una alerta de seguridad
Mathew Lilley, CTO de SushiSwap, informó que un conector Web3 común fue hackeado, permitiendo la inyección de código malicioso en varias DApps.
La biblioteca Ledger confirmó el ataque, donde el código vulnerable insertaba la dirección de la cuenta del atacante.
“ALERTA ROJA: No interactúes con NINGUNA dApp hasta nuevo aviso. El conector Ledger ha sido comprometido, permitiendo la inyección de código malicioso en varias DApps. ¡Mantén tus fondos seguros!”
El Ledger connector es una librería esencial para muchas DApps y, al ser comprometida, se ha introducido un drenador de billeteras. Aunque el drenaje de fondos no ocurre automáticamente, los usuarios pueden recibir notificaciones en sus billeteras de navegador (como MetaMask) que entregan activos a actores maliciosos.
Los analistas on-chain advierten a los usuarios que eviten cualquier DApp que utilice el conector de Ledger, y señalan que el connect-kit-loader también es vulnerable en este momento.
“ El paquete npm @ledgerhq/connect-kit de Ledger fue hackeado, según informes, lo que agrega un nivel adicional de riesgo a la seguridad de las transacciones en la red.”
Poco tiempo después de divulgarse la información, Ledger confirmó el problema mediante un comunicado.
«Identificamos y removimos una versión maliciosa de Ledger Connect Kit. Una versión auténtica se está cargando para reemplazar a la maliciosa. No interactúes con ninguna dApp por el momento», escribieron. Además, afirman que las hardware wallets Ledger y su aplicación Ledger Live no están afectadas por la vulnerabilidad.