|
Getting your Trinity Audio player ready...
|
Matthew Lilley, le CTO du protocole DeFi Sushi, a récemment émis un avertissement concernant une attaque de front-end qui semble toucher un connecteur Web3 fréquemment utilisé dans l'industrie : le connect-kit de Ledger. Dans un message urgent sur X, il conseille de ne pas interagir avec les dApps jusqu'à nouvel ordre. Cette alerte fait suite à la découverte d'une faille de sécurité permettant l'injection de code malveillant affectant de nombreuses dApps.
Ledger, qui utilise un réseau de diffusion de contenu (CDN) pour charger JavaScript pour ses applications ou son site web, s'est appuyé sur un CDN externe, jsdelivr, pour du code critique comme JavaScript. Ce qui peut être risqué car cela introduit une dépendance vis-à-vis d'un service externe que l'entreprise ne contrôle pas directement.
Ledger ne précise pas les versions exactes du code JavaScript qu'il charge. Cela signifie qu'ils chargent potentiellement la version la plus récente d'un script, qui peut inclure des changements qu'ils n'ont pas testés : cela serait une erreur gravissime.
En effet, 3 mises à jour de la librairie Ledger ont eu lieu en moins de 24 heures, ajoutant un fonction “drain” permettant de vider le wallet des utilisateurs qui seraient pris dans l'attaque en signant une transaction malveillante.
Le CDN de Ledger a été compromis. Cela signifie qu'un attaquant a pu modifier les fichiers JavaScript hébergés sur le CDN. Étant donné que les applications ou le site web de Ledger chargent ces scripts, la compromission pourrait entraîner l'exécution de codes malveillants sur les appareils des utilisateurs, ce qui pose des risques de sécurité importants, surtout si l'on considère l'implication de Ledger dans le domaine sensible des crypto monnaies.
Le problème touche donc plusieurs sites de finance décentralisée (DeFi), y compris Sushi Swap, Zapper, Hey et même RevokeCash. Il est donc important de ne pas paniquer et d'attendre au lieu de tenter de révoquer des accès et commettre une erreur.
