Le fabricant de portefeuilles matériels Ledger désactivera la signature aveugle pour les applications décentralisées EVM (dapps) d’ici juin 2024, suite à un exploit dans lequel un draineur de portefeuille a été ajouté à une bibliothèque utilisée par de nombreux développeurs pour se connecter à ses appareils.
Dans un tweet, Ledger a déclaré qu’environ 600 000 dollars d’actifs cryptographiques ont été volés au cours de l’exploit. La société a annoncé que les victimes concernées seraient « indemnisées » et qu’elle « n’autoriserait plus la signature aveugle avec les appareils Ledger d’ici juin 2024 ».
La signature aveugle implique l’affichage de données brutes de signature de contrats intelligents qui peuvent être analysées par des ordinateurs mais qui sont incompréhensibles pour un lecteur humain. Ledger a déjà plaidé en faveur d’une approche « ce que vous voyez est ce que vous signez », connue sous le nom de signature claire, dans laquelle la signature du contrat intelligent est analysée d’une manière lisible par l’homme.
Dans son annonce, Ledger a déclaré que sa décision de mettre fin à la signature aveugle « conduirait à une nouvelle norme pour protéger les utilisateurs et encourager la signature claire à travers les DApps », et a encouragé les développeurs de dapps à soutenir la signature claire.
Nous nous concentrons à 100 % sur le suivi de l’incident de sécurité de la semaine dernière, en veillant à ce que des incidents de ce type soient évités à l’avenir et que l’écosystème reste sûr.
Nous savons qu’environ 600 000 dollars d’actifs ont été touchés, volés à des utilisateurs signant à l’aveugle sur les DApps EVM.
Ledger…
– Ledger (@Ledger) Le 20 décembre 2023
Dans l’exploit de la semaine dernière, une version malveillante du Ledger Connect Kit, une bibliothèque qui permet aux appareils Ledger de se connecter aux dapps, a été identifiée par des développeurs sur Twitter. La société de sécurité Web3 BlockAid a indiqué que « l’attaquant a injecté une charge utile drainant les portefeuilles » dans le paquet NPM du kit ledgerconnect, ce qui lui a permis de drainer les fonds des utilisateurs qui se sont connectés à des applications, notamment Sushi.com et Hey.xyz.
Le développeur de portefeuilles logiciels MetaMask a averti les utilisateurs de « cesser d’utiliser les dapps » après l’annonce de l’attaque.
Dans un post de suivi, Ledger a confirmé que l’attaque a eu lieu à la suite d’une attaque de phishing dont a été victime un ancien employé. L’attaquant a pu accéder au compte NPMJS de l’ancien employé, un gestionnaire de paquets JavaScript, ce qui lui a permis d’envoyer une version malveillante du kit de connexion de Ledger. Le kit de connexion malveillant a ensuite redirigé les fonds des utilisateurs de n’importe quel portefeuille se connectant à une application utilisant ce kit, vers le propre portefeuille du pirate.
Ledger a déclaré qu’un correctif a été déployé dans les 40 minutes qui ont suivi l’alerte des équipes de sécurité de l’entreprise, et a mis en ligne une nouvelle version du kit de connexion (1.1.8). Les appareils Ledger eux-mêmes, et l’application Ledger Live de la société, n’ont pas été compromis par l’exploit, a ajouté la société.
L’entreprise a déjà été critiquée pour sa sécurité. En 2020, une base de données de courriels de clients de Ledger a été piratée, compromettant plus d’un million de courriels d’utilisateurs, tandis qu’au début de cette année, le service de récupération basé sur l’identification volontaire de Ledger a été qualifié de « porte dérobée » par les utilisateurs. Éric Larchevêque, cofondateur de Ledger, a décrit le déploiement du service Recover comme « un échec total en termes de relations publiques, mais absolument pas sur le plan technique. «
