Ledger conprometido

Cita de [Dante]

por mierdas como estas quedan muchos años para la adopcion

Cita de kreach

Mierdas como estas siempre va a haber... mira la cantidad de gente que es estafada cada dia con phising bancario, si swapping y demas... y los bancos y sus aplicaciones estan adoptadas

Cita de kreach

Mierdas como estas siempre va a haber... mira la cantidad de gente que es estafada cada dia con phising bancario, si swapping y demas... y los bancos y sus aplicaciones estan adoptadas

Cita de Mornsong

Cuando se empezaron a ir a la mierda algunos brokers de cripto lo saqué todo de Coinbase y Binance y lo metí en un Ledger y no lo he tocado. Qué debo hacer? Seguir sin tocarlo no? Ayuda shurs estoy un poco perdido

Cita de Pat Garrett

Shures que os parece bitbox como alternativa a ledger?

Cita de TangyMeow

No toques.

Cita de transeunte77

Se sabe desde cuando ha estado comprometido?

Cita de maxxtrez22

No es cierto eso pasa la gente por tener shitcoins de mierda y confiar en ledger, Trezor modelo T con passphrase metido en la pantalla táctil del dispositivo y ya me pueden comer los huevos todos los hackers

Cita de [Dante]

si, pero si te hacen algun lio de clonar tarjetas, pshissing o similar, el propio seguro del banco te cubre lo usuarpado si se confirma que es un robo

Cita de EnsaladillaFC

El problema ya está solucionado.

De todas formas cuando firmáis transacciones con Ledger supongo que comprobaréis en la pantallita que las direcciones son correctas, no?

Cita de Probablemente

¿Qué tiene que ver la pantallita con que una de las librerías a través de las que se conectan las dApps esté comprometida?

Cita de Reynols 2.0

Yo no conecto ledger a ninguna aplicación externa

Cita de EnsaladillaFC

Pues que hay que comprobar siempre las direcciones que se firman.

El problema de seguridad está en esa librería que ya ha sido corregida.

Cita de Probablemente

Sí, ya se ha pusheado la 1.1.8 del connect-kit. Pero lo que dices de "comprobar las direcciones que se firman" no sirve de mucho cuando interactúas con librerías o smartcontracts que contienen código malicioso. A priori todo puede estar bien, la magia se produce detrás de todo eso.

En cualquier caso el recordatorio es bueno; simplemente matizar que hay mucho más que ocurre "fuera de la pantalla".

Cita de miso

Menuda mierda es ledger.

Siempre son los mismos en el ojo del huracán

Cita de EnsaladillaFC

Esto pasa hasta en las mejores familias. Que se informen de vulnerabilidades y se corrijan, es lo correcto.

Peores son las empresas que no informan nunca de fallos o problemas, eso dice mucho de ellas.

Cita de miso

Llevas dos mensajes que parece que cobres de ledger.

Insisto. Siempre están en fregaos, que si pueden almacenar tu semilla por si se te olvida , que si les hackean la base de datos con los correos y datos, que si una librería....

Me da cero confianza.

Siento si tú alimento o salario depende de ello shur.

CRONOGRAMA FINAL Y ACTUALIZACIÓN PARA CLIENTES:

16:49 CET:

La versión original 1.1.8 del Ledger Connect Kit se está propagando ahora automáticamente. Recomendamos esperar 24 horas hasta volver a utilizar el kit Ledger Connect.

La investigación continúa, aquí está la cronología de lo que sabemos sobre el exploit en este momento:

- Esta mañana CET, un ex empleado de Ledger fue víctima de un ataque de phishing que obtuvo acceso a su cuenta NPMJS.
- El atacante publicó una versión maliciosa del Ledger Connect Kit (que afecta a las versiones 1.1.5, 1.1.6 y 1.1.7). El código malicioso utilizó un proyecto falso de WalletConnect para redirigir fondos a una billetera de piratas informáticos.
- Los equipos de tecnología y seguridad de Ledger fueron alertados y se implementó una solución 40 minutos después de que Ledger se diera cuenta. El archivo malicioso estuvo activo durante aproximadamente 5 horas; sin embargo, creemos que la ventana en la que se drenaron los fondos se limitó a un período de menos de dos horas.
- Ledger se coordinó con
@WalletConnect
, quien rápidamente desactivó el proyecto fraudulento.
- La versión 1.1.8 genuina y verificada del Ledger Connect Kit ahora se está propagando y es seguro de usar.
- Para los constructores que están desarrollando e interactuando con el código del kit Ledger Connect: el equipo de desarrollo del kit de conexión en el proyecto NPM ahora es de solo lectura y no puede impulsar directamente el paquete NPM por razones de seguridad.
- Hemos rotado internamente los secretos para publicarlos en GitHub de Ledger.
- Desarrolladores, verifiquen nuevamente que estén utilizando la última versión, 1.1.8.
- Ledger, junto con
@Walletconnect
y nuestros socios, informaron la dirección de la billetera del mal actor. La dirección ahora es visible en
@chainalysis
.
@Tether_to
ha congelado el USDT del mal actor.
- Le recordamos que siempre borre el signo con su libro mayor. Lo que ve en la pantalla del Libro mayor es lo que realmente firma. Si aún necesita realizar una firma ciega, use una billetera Ledger mint adicional o analice su transacción manualmente.
- Estamos hablando activamente con clientes cuyos fondos podrían haberse visto afectados y trabajando de manera proactiva para ayudar a esas personas en este momento.
- Estamos presentando una denuncia y trabajando con las autoridades en la investigación para encontrar al atacante.
- Estamos estudiando el exploit para evitar futuros ataques. Creemos que la dirección del atacante donde se drenaron los fondos está aquí: 0x658729879fca881d9526480b82ae00efc54b5c2d

Gracias a
@WalletConnect
, @Tether_io,
@Chainalysis
,
@zachxbt
y a toda la comunidad que nos ayudó y continúa ayudándonos a identificar y resolver este ataque.

La seguridad siempre prevalecerá con la ayuda de todo el ecosistema.