La librairie de Ledger touchée par un hack : De nombreuses dApps sont compromises

Le CTO de Sushi alerte sur le hack d’un connecteur Web3 largement utilisé, la bibliothèque Ledger Connect, mettant en garde contre les interactions avec les dApps.
portefeuille wallet crypto hack
Getting your Trinity Audio player ready...
  1. Le CTO de Sushi, Matthew Lilley, avertit d’une possible attaque front-end affectant un connecteur Web3 couramment utilisé : le connect-kit de Ledger.
  2. Le hack implique la modification de l’interface utilisateur des sites web ou applications, permettant aux pirates de détourner des fonds.
  3. Le problème touche de nombreux sites DeFi, notamment Zapper et RevokeCash.

Attaque sur la librairie Ledger et hack de son Connect-Kit

Matthew Lilley, le CTO du protocole DeFi Sushi, a récemment émis un avertissement concernant une attaque de front-end qui semble toucher un connecteur Web3 fréquemment utilisé dans l’industrie : le connect-kit de Ledger. Dans un message urgent sur X, il conseille de ne pas interagir avec les dApps jusqu’à nouvel ordre. Cette alerte fait suite à la découverte d’une faille de sécurité permettant l’injection de code malveillant affectant de nombreuses dApps.

Ledger, qui utilise un réseau de diffusion de contenu (CDN) pour charger JavaScript pour ses applications ou son site web, s’est appuyé sur un CDN externe, jsdelivr, pour du code critique comme JavaScript. Ce qui peut être risqué car cela introduit une dépendance vis-à-vis d’un service externe que l’entreprise ne contrôle pas directement.

Ledger ne précise pas les versions exactes du code JavaScript qu’il charge. Cela signifie qu’ils chargent potentiellement la version la plus récente d’un script, qui peut inclure des changements qu’ils n’ont pas testés : cela serait une erreur gravissime.

En effet, 3 mises à jour de la librairie Ledger ont eu lieu en moins de 24 heures, ajoutant un fonction « drain » permettant de vider le wallet des utilisateurs qui seraient pris dans l’attaque en signant une transaction malveillante.

Le CDN de Ledger a été compromis. Cela signifie qu’un attaquant a pu modifier les fichiers JavaScript hébergés sur le CDN. Étant donné que les applications ou le site web de Ledger chargent ces scripts, la compromission pourrait entraîner l’exécution de codes malveillants sur les appareils des utilisateurs, ce qui pose des risques de sécurité importants, surtout si l’on considère l’implication de Ledger dans le domaine sensible des crypto monnaies.

N’utilisez aucune dApps avant qu’un patch soit déployé

Le problème touche donc plusieurs sites de finance décentralisée (DeFi), y compris Sushi Swap, Zapper, Hey et même RevokeCash. Il est donc important de ne pas paniquer et d’attendre au lieu de tenter de révoquer des accès et commettre une erreur.

Articles qui pourraient vous intéresser