Ledger, le fleuron français des portefeuilles matériels crypto, est en pleine tourmente. Une faille inquiétante a été découverte dans le code de son système de connexion à la finance décentralisée (DeFi), posant de sérieux défis de sécurité pour l'entreprise et ses utilisateurs.
Retour au hack
Le Connect Kit de Ledger, utilisé pour intégrer des applications décentralisées (dapps) aux produits Ledger, a été la cible d'une attaque de piratage. L'incident a été initialement signalé par Matthew Lilley, CTO de Sushi, qui a averti les utilisateurs de la compromission du connecteur de portefeuille. Cette faille permettait l'injection de code malveillant affectant de nombreuses dapps. L'attaque a déclenché une fenêtre pop-up invitant les utilisateurs à connecter leur portefeuille, activant ainsi un mécanisme de détournement de jetons.
ALERTE ROUGE:
N’interagissez avec AUCUNE dApp jusqu’à nouvel ordre. Il semble qu'un connecteur Web3 couramment utilisé ait été compromis, ce qui permet l'injection de code malveillant affectant de nombreuses dApps.
— Je suis un logiciel (@MatthewLilley) 14 décembre 2023
La faille de sécurité du Connect Kit de Ledger affectait les principaux protocoles DeFi tels que Zapper, SushiSwap, Phantom, Balancer et Revoke.cash, avec des implications potentielles pour d'autres systèmes similaires. Selon Lookonchain, une plateforme d'analyse de blockchain, le pirate informatique à l'origine de l'attaque a volé au moins 4,334 Ether (ETH), soit l'équivalent de près de 484 000 $.
Un pirate informatique a attaqué#Ledgeret a volé environ 484 000 $ d'actifs.#LedgerExploitera transféré 4,334 $ ETH à #AngelDrainer.
Et le#AngelDrainerreçoit également actuellement des actifs et détient 363 000 $ d'actifs.https://t.co/ZG5SRlKBjW pic.twitter.com/RK9aPyAjEE
— Lookonchain (@lookonchain) 14 décembre 2023
Dans la foulée de cette faille de sécurité, MetaMask, concurrent de la licorne française, a également été touché. Conscient de l’urgence, MetaMask a rapidement réagi en mettant en œuvre une mise à jour critique de sa plateforme. Ses techniciens ont assuré que les utilisateurs équipés de la dernière version, v2.121.0, devraient pouvoir reprendre leurs transactions en toute sécurité, la mise à jour se faisant automatiquement.
Ledger n'a pas tardé à réagir
Deux heures après la découverte de la faille de sécurité, Ledger a rapidement agi en remplaçant la version compromise de son connecteur par une mise à jour sécurisée. Dans le même temps, l'entreprise a alerté ses utilisateurs sur l'importance de vérifier les informations affichées lors des transactions. Ils ont insisté sur le fait que les données fiables sont celles qui apparaissent sur l’écran de l’appareil Ledger. L'entreprise a également conseillé aux utilisateurs d'être vigilants et d'arrêter toute transaction si les informations affichées sur leur clé diffèrent de celles sur les autres écrans.
Plus de peur que de mal : Tether, par la voix de son leader Paolo Ardoino, a annoncé avoir gelé l'adresse de l'exploiteur.
Tether vient de geler l'adresse de l'exploiteur Ledger
— Paolo Ardoino (@paoloardoino) 14 décembre 2023
Morale de l'histoire : Même le chêne le plus résistant plie sous le vent.