El CEO de Ledger, Pascal Gauthier, abordó el hackeo del proveedor de billeteras el 14 de diciembre en una entrada en el blog de la compañía. Dijo que el hackeo de la biblioteca de conectores Javascript de Ledger fue un "incidente aislado" y prometió un control de seguridad más estricto.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
Mi compromiso personal: Ledger dedicará todos los recursos internos y externos posibles para ayudar a los afectados a recuperar sus activos.
El exploit se ejecutó en menos de dos horas y fue desactivada en 40 minutos tras su descubrimiento, limitándose a DApps de terceros, según Gauthier. Fue posible luego de que un ex-empleado fuese víctima de un ataque de phishing, afirmó. Se dice que la identidad de ese empleado quedó registrada en el código hackeado. El hardware de Ledger y la plataforma Ledger Live no se vieron afectados. Además:
“La práctica estándar en Ledger es que ninguna persona puede implementar código sin la revisión de múltiples partes. Tenemos fuertes controles de acceso, revisiones internas y firmas múltiples de código cuando se trata de la mayoría de las partes de nuestro desarrollo. Esto es válido en el 99% de nuestros sistemas internos. Cualquier empleado que abandona la empresa tiene revocado su acceso de todos los sistemas de Ledger”.
Gauthier describió el hack como “un desafortunado incidente aislado”. Ahora, prometió:
“Ledger implementará controles de seguridad más fuertes, conectando nuestro canal de construcción que implementa estricta seguridad en la cadena de suministro de software con el canal de distribución NPM”.
Gauthier añadió que un hack de este tipo podría ocurrirle a otros. Ledger Connect Kit 1.1.8 es seguro y está listo para usar, dijo Gutheir. Agradeció la asistencia de WalletConnect, Tether, Chainalysis y Zachxbt.
El tamaño del hackeo se estimó originalmente en USD 484,000, pero el servicio de seguridad Web3, Blockaid, informó posteriormente a Cointelegraph que la suma había aumentado a USD 504,000 a las 20:00 UT. El hackeo podría afectar a cualquier usuario de EVM que interactuara con las DApps afectadas, añadió la empresa.
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.