Se dice a menudo que una sola chispa puede iniciar un incendio forestal. Esta analogía es cierta también en el ámbito digital, donde un solo enlace de phishing desató el caos en el panorama de las criptomonedas, causando pánico generalizado e incertidumbre. ¿El culpable? Un ex empleado de un fabricante de monederos cripto, Ledger, que cayó en una estafa de phishing.
Desentrañando el Ciberataque
La estafa de phishing comenzó cuando el nombre y la dirección de correo electrónico del ex empleado de Ledger aparecieron en el código comprometido. Esto llevó a especulaciones iniciales de que el desarrollador era responsable del exploit. Sin embargo, Ledger aclaró que el ataque se inició porque el ex empleado cayó víctima de una estafa de phishing.
Al haber obtenido acceso a la cuenta de NPMJS del ex empleado, un administrador de paquetes para el lenguaje de programación JavaScript, el atacante estaba en posición de causar un daño significativo. Los desarrolladores utilizan estos paquetes o bibliotecas para construir proyectos, incluyendo aplicaciones descentralizadas (dApps), sin tener que codificar todo desde cero.
De Acceso a Explotación
Una vez que el atacante tuvo acceso a NPMJS, lanzó una versión maliciosa del Kit de Conexión de Ledger. Esto significaba que cualquier proyecto que usara el Kit de Conexión contendría código dañino capaz de redirigir los fondos de los usuarios a la billetera de un hacker.
Las versiones del Kit de Conexión afectadas fueron 1.1.5, 1.1.6 y 1.1.7, todas las cuales han sido eliminadas de la página de NPM de Ledger. El archivo malicioso estuvo activo durante alrededor de cinco horas, pero Ledger cree que la ventana durante la cual se drenaron los fondos fue de menos de dos horas.
Secuelas y Recuperación
Tras el incidente, Ledger lanzó una nueva versión del Kit de Conexión (1.1.8) y afirmó que todas las billeteras que lo utilizaban se actualizarían automáticamente. Sin embargo, aconsejaron a los usuarios esperar 24 horas antes de intentar conectarse a una dApp.
Ilkka Turunen, CTO de campo de la firma de ciberseguridad Sonatype, resaltó la escala potencial del daño, señalando el gran número de repositorios en GitHub que dependen del cargador de kits de conexión. Este incidente subraya la importancia de que los desarrolladores ejerzan una higiene adecuada al usar dichos paquetes.
El evento generó una considerable ansiedad dentro de la industria. Aftab Hossain, inversor y asesor, expresó sus preocupaciones en X (anteriormente Twitter), afirmando que el ecosistema podría verse gravemente comprometido si un desarrollador haciendo clic en un enlace de phishing pudiera poner en peligro casi todas las aplicaciones significativas de frontend.
Mientras tanto, Tether, emisor de una stablecoin, congeló los fondos vinculados a la billetera utilizada por el explotador, que había drenado 484,000 dólares de usuarios de DeFi. La billetera, vinculada a un grupo de phishing conocido como Angel Drainer, había estado involucrada en varios otros hacks de DeFi.
A medida que navegamos por el complejo mundo de las criptomonedas, herramientas como cryptoview.io pueden ayudarnos a mantenernos informados y seguros. Este incidente sirve como un fuerte recordatorio de los riesgos potenciales en el panorama de las criptomonedas y la importancia de la vigilancia y la seguridad.
Mantente seguro, mantente informado y mantente seguro con cryptoview.io.
