Ledger Connect Kit comprometido, y la lía en el mundo de las dApps

[DdmrDdmr]

Ante todo, me quedo con la parte del mensaje del propio Ledger, según el cual indican que no se han visto comprometidas ni los hardware wallets de Ledger, ni Ledger Live.

Dicho eso, el Ledger Connect Kit si es utilizado por numerosas dApps para interaccionar con el usuario, y se recomienda no interactuar con ninguna desde ningún software hasta no clarificar la situación del todo. El motivo es que hay muchas dApps que se basan en el uso de la Ledger Connect Kit para su operativa, y por ende, pueden haberse visto comprometidas.

El problema de fondo parece ser que:

<…> el problema radica en que la cuenta de CDN desde la cual Ledger Connect Kit carga su JavaScript ha sido comprometida, «lo que está inyectando JavaScript malicioso en varias aplicaciones descentralizadas»

Siendo más concretos, se ha aprovechado el acceso a la cuenta CDN por parte de hackers, para subir una versión maliciosa que tiene por objeto drenar los fondos del usuario. Para ello, parece que modificaron un pop-up de conexión, de manera que :

Edit:
En principio está corregido el problema, pero puede quedar algún interficie dApp que tenga la actualización en caché.

Ver:
https://twitter.com/Ledger/status/1735291427100455293
https://www.criptonoticias.com/seguridad-bitcoin/alerta-maxima-protocolos-defi-dapps-vulnerabilidad-ledger/
https://stackdiary.com/ledger-library-confirmed-compromised-and-replaced-with-a-drainer/
https://www.criptonoticias.com/seguridad-bitcoin/ledger-corrige-fallo-peligro-aplicaciones-descentralizadas/

[1714538694]

1714538694

[1714538694]

1714538694

[1714538694]

1714538694

[1714538694]

1714538694

[darbitmobilerecovery]

Que le hace una mancha mas a la cebra?.

Siguen acumulando pequeño/grandes fallos estos muchachos, realmente tienen suerte que su reputación logre salir apenas tocada después de todas estas cosas. Creo yo que es mas bien por la falta de una competencia realmente solida que por otra cosa.

Espero que no haya demasiados afectados, y si es a destacar lo rápido que fue corregido.

Si vi mucha gente quejándose, de porque un ex empleado tenia todavía acceso a ciertas cosas, lo cual es verdad me pareció cuanto menos curioso, pero no se que tan real sea todo eso.

[DdmrDdmr]

Ayer vi alguna empresa del entorno afectado citar que les birlaron 600K $, y no sé si hoy veremos algún balance más certero y fehaciente, teniendo en cuenta que por un lado el incidente fue relativamente breve, pero que por otro lado pudo afectar a un conjunto amplio de empresas/clientes finales.

Por otro lado, y sin que esté a priori directamente relacionado con este incidente, algo que no me gusta nada de esta tendencia de Ledger y Trezor (supongo que hay más) de poner en la wallet acceso a funcionalidades que son soportadas en última instancia por terceros, y que pueden ser vectores de ataque en algún momento dado. No digo al dispositivo en sí, sino al uso de la wallet en estas funcionalidades.

[Don Pedro Dinero]

Madre mía que basura de empresa. Creo que aún sobreviven por la reputación que consiguieron los primeros años, en que lo único seguro eran Trezor y Ledger. Hoy en día con tanta competición no me extrañaría que con el tiempo quebraran o fueran absorbidos por otra empresa. A mi me perdieron como cliente, y nunca más.

[Andreesep]

Yo utilizó la marca Ledger desde hace 2 años y nunca he tenido un problema, solo la utilizo para recibir satoshis de Bitso - Ledger.
Creen que corra algún riesgo o mejor compro otra cold wallet? Y qué marcas recomiendan además de Trezor.

Saludos desde Guadalajara - México.

[Hispo]

Es una de las cosas que me hacen sentir algo cauteloso eno que concierne al uso de las locaciones decentralizadas. En el papel todo funcioan de forma relativamente bien, pero solo hace falta que una persona malintentionada encuentre un fallo en el código para que tanto las aplicaciones como los puentes que se utilizan para acceder a ellas empiecen a tener poeblemas de seguridad graves.
En fin, por lo menos por ahora no hay noticias de un exploit masivo que se haya traducido en una perdida masiva de fondos, como ha sucedido antes en protocolos de finances decentralizadas. Aunque claro, en este caso es algo diferente, por ser una vulnerabilidad más bien en el Bridge para la conexión, en lugar del contrato inteligente en la cadena de bloques.

[Hispo]

Es una de las cosas que me hacen sentir algo cauteloso eno que concierne al uso de las locaciones decentralizadas. En el papel todo funcioan de forma relativamente bien, pero solo hace falta que una persona malintentionada encuentre un fallo en el código para que tanto las aplicaciones como los puentes que se utilizan para acceder a ellas empiecen a tener poeblemas de seguridad graves.
En fin, por lo menos por ahora no hay noticias de un exploit masivo que se haya traducido en una perdida masiva de fondos, como ha sucedido antes en protocolos de finances decentralizadas. Aunque claro, en este caso es algo diferente, por ser una vulnerabilidad más bien en el Bridge para la conexión, en lugar del contrato inteligente en la cadena de bloques.

[DdmrDdmr]

Ledger ha publicado un informe acerca del incidente de seguridad que hemos comentado recientemente (ver primer enlace abajo referenciado). Entre otras cosas, cita que el punto de partida fue que un exempleado (lo cita como ex) picó en un ataque de phishing con cierta sofisticación, dado que a la postre lograron superar el 2FA de acceso a la cuenta NPMJS, utilizando para ello una API Key asociada a la cuenta del exempleado. Con ello, el hacker logró cambiar el código del Ledger connection kit por uno malicioso.

A su vez, en un Tweet de hoy, indican que resarcirán por completo los 600K $ en criptomonedas que se estima fueron drenados.

Ver:
https://www.ledger.com/blog/security-incident-report
https://twitter.com/Ledger/status/1737457365526470665

[darbitmobilerecovery]

Ledger ha publicado un informe acerca del incidente de seguridad que hemos comentado recientemente (ver primer enlace abajo referenciado). Entre otras cosas, cita que el punto de partida fue que un exempleado (lo cita como ex) picó en un ataque de phishing con cierta sofisticación, dado que a la postre lograron superar el 2FA de acceso a la cuenta NPMJS, utilizando para ello una API Key asociada a la cuenta del exempleado. Con ello, el hacker logró cambiar el código del Ledger connection kit por uno malicioso.

A su vez, en un Tweet de hoy, indican que resarcirán por completo los 600K $ en criptomonedas que se estima fueron drenados.

Excelente lo del resarcimiento, estimo que en parte lo hacen sin mas debido a que no es una cuantiosa suma a la cual pueden afrontar.

Ahora igual no termino de entender como tenían esa API Key asociada a la cuenta del exempleado.

[Hispo]

Ledger ha publicado un informe acerca del incidente de seguridad que hemos comentado recientemente (ver primer enlace abajo referenciado). Entre otras cosas, cita que el punto de partida fue que un exempleado (lo cita como ex) picó en un ataque de phishing con cierta sofisticación, dado que a la postre lograron superar el 2FA de acceso a la cuenta NPMJS, utilizando para ello una API Key asociada a la cuenta del exempleado. Con ello, el hacker logró cambiar el código del Ledger connection kit por uno malicioso.

A su vez, en un Tweet de hoy, indican que resarcirán por completo los 600K $ en criptomonedas que se estima fueron drenados.

Ver:
https://www.ledger.com/blog/security-incident-report
https://twitter.com/Ledger/status/1737457365526470665

Vi la noticia sobre el hecho de que iban a tener un plan para dar una compensación a las personas que perdieron sus fondos. Solo lo ví como titular, así que me pareció extraño que una compañía como Ledger se saliese de su curso con la motivación de compensar de esa forma a los usuarios. Me hizo pensar que quizá detrás del exploit pudo haber algo de responsabilidad por parte de ellos y por lo que veo, efectivamente fué el caso.

Puede que lo que sucediese es que los criminales hicieron un ataque de spear fishing en contra de personas que ellos asumieron estaban trabajando para Ledger, y de allí todo escaló a esto que hemos visto.  Hoenstamente he have remplantearme when medidas de seguridad hubiesen Sido efectivas para prevenir que esto sucediese. Quizá lo mejor es no actualizar de forma súbida el software de nuestras HW hasta que pase un tiempo preventivo?
Obviamente, esa persona al no ser parte del equipo de Ledger, no debió tener acceso al repositorio de ellos.

[DdmrDdmr]

Por lo que he entendido, Ledger indica que el incidente no afectó a las hardware wallets en sí (lógico), ni a Ledger Live, pero creo que en este último elemento no son del todo claros. Ledger Live permite conectarse con un montón de cosas, algunas entiendo que relativas a dApps, y toda conexión es un potencial vector de ataque.

De hecho, en su página de soporte para reclamar las pérdidas de este caso, una de las preguntas que hacen es si el usuario firmó la TX con su dispositivo Ledger.
Ver: https://support.ledger.com/hc/en-us/articles/15580506579101?support=true

Puede que el escudo sea algo del estilo de "Legder Live no ha sido afectado" (el core), aunque sí aquellos sitios a los que se conecta …

Lo que había pasado por alto antes era lo siguiente:

The malware used was Angel Drainer, and the Ledger security team has seen in the past three months an increase of criminal activities using this malware (please refer to this published Blockaid report). We can also see on-chain that the funds stolen are being split: 85% to the exploiter and 15% to Angel Drainer, which could be seen as a malware as a service.

Lectura complementaria sobre Angel Drainer:
https://slowmist.medium.com/cracking-the-code-unveiling-the-deceptive-angel-drainer-phishing-gang-proactive-strategies-to-3ade2bbfd45c