Le fabricant de portefeuilles matériels Ledger a averti les utilisateurs de ne pas se connecter à des applications décentralisées (dapps), après qu’une version malveillante du Ledger Connect Kit a été identifiée.
Un porte-parole de Ledger a déclaré à TCN : « Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est en train d’être poussée pour remplacer le fichier malveillant. N’interagissez pas avec les dApps pour le moment ». Le porte-parole a ajouté que les appareils Ledger et son application Ledger Live n’étaient pas compromis et que l’entreprise « tiendra les utilisateurs informés de l’évolution de la situation ».
Le développeur de portefeuilles logiciels MetaMask a également averti les utilisateurs de « cesser d’utiliser les dapps » lorsque la nouvelle de l’attaque a été annoncée.
La version compromise du Connect Kit, une bibliothèque qui permet au Ledger hardware wallet de se connecter aux dapps, a d’abord été identifiée par des développeurs sur Twitter.
Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit.
Une version authentique est poussée pour remplacer le fichier malveillant maintenant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation.
Votre appareil Ledger et…
– Ledger (@Ledger) Le 14 décembre 2023
La société de sécurité BlockAid a rapporté que « l’attaquant a injecté une charge utile drainant le portefeuille » dans le paquet NPM du kit ledgerconnect, ajoutant que les dapps utilisant les versions 1.1.4 et supérieures du kit connect de Ledger, y compris Sushi.com et Hey.xyz, ont été affectées.
Nous avons détecté une attaque potentielle de la chaîne d’approvisionnement sur le kit ledgerconnect .
L’attaquant a injecté une charge utile drainant le portefeuille dans le paquet NPM populaire.
Cela affecte actuellement quelques dapps populaires, y compris, mais sans s’y limiter, https://t.co/2QJmKIGv9T– Blockaid (@blockaid_) Le 14 décembre 2023
Le directeur technique de SushiSwap, Matthew Lilley, a fustigé Ledger pour une « chaîne de terribles bévues », expliquant qu' »un connecteur web3 couramment utilisé a été compromis, ce qui permet l’injection de code malveillant affectant de nombreuses dApps ».
Il a ajouté que les utilisateurs devraient éviter d’utiliser des dapps « jusqu’à ce que leurs équipes confirment qu’elles ont atténué l’attaque ».
Hudson Jameson, chargé de liaison avec les développeurs du noyau Ethereum, a expliqué qu' »une bibliothèque utilisée par de nombreuses dapps et maintenue par Ledger a été compromise et qu’un draineur de portefeuille a été ajouté ». Réitérant qu' »il est risqué d’utiliser des dapps actuellement si vous ne comprenez pas quelles bibliothèques dorsales elles utilisent », Hudson Jameson a ajouté que « même après que Ledger ait corrigé le mauvais code dans sa bibliothèque, les projets utilisant et déployant cette bibliothèque devront faire des mises à jour avant qu’il ne soit possible d’utiliser en toute sécurité les dapps qui utilisent les bibliothèques web3 de Ledger ».
Ledger a fait l’objet de critiques concernant sa sécurité au cours des derniers mois, le service Recover basé sur l’identification volontaire de l’entreprise ayant suscité l’ire des utilisateurs de crypto-monnaies.
Ce service, qui n’est pas lié à l’attaque d’aujourd’hui, divise la phrase de base de l’utilisateur et la stocke auprès de trois dépositaires distincts, en demandant à l’utilisateur de fournir son passeport ou sa carte d’identité nationale comme pièce d’identité. Le cofondateur de Ledger, Éric Larchevêque, a qualifié le déploiement du service de « total échec en matière de relations publiques, mais absolument pas sur le plan technique », les utilisateurs ayant qualifié le service de « porte dérobée ».
En novembre, une application frauduleuse de Ledger sur l’App Store de Microsoft a soutiré près d’un million de dollars à des clients peu méfiants, tandis qu’en 2020, l’entreprise a dû faire face à des critiques après le piratage d’une base de données de courriels de clients, avec plus d’un million de courriels d’utilisateurs compromis.
