Ledger, fleuron français des portefeuilles matériels crypto, se retrouve dans la tourmente. Une faille inquiétante a été découverte dans le code de son système de connexion à la finance décentralisée (DeFi), posant de sérieux défis en termes de sécurité pour l’entreprise et ses utilisateurs.
Retour sur le hack
Le Connect Kit de Ledger, utilisé pour intégrer des applications décentralisées (dapps) aux produits Ledger, a été la cible d’une attaque de piraterie. L’incident a été initialement signalé par Matthew Lilley, CTO de Sushi, qui a averti les utilisateurs de la compromission du connecteur du wallet. Cette faille permettait l’injection de code malveillant affectant de nombreuses dapps. L’attaque déclenchait une fenêtre pop-up invitant les utilisateurs à connecter leur portefeuille, activant ainsi un mécanisme de détournement de tokens.
La faille de sécurité dans le Connect Kit de Ledger a affecté des protocoles DeFi clés comme Zapper, SushiSwap, Phantom, Balancer, et Revoke.cash, avec des implications potentielles pour d’autres systèmes similaires. Selon Lookonchain, une plateforme d’analyse de blockchain, le pirate derrière l’attaque a volé au moins 4.334 Ether (ETH), équivalent à près de 484 000 dollars.
Pour aller plus loin : La DeFi, c’est quoi au juste ?
Dans le sillage de cette faille de sécurité, MetaMask, un concurrent de la licorne française, a également été touché. Conscient de l’urgence, MetaMask a rapidement réagi en mettant en place une mise à jour critique pour sa plateforme. Ses techniciens ont assuré que les utilisateurs équipés de la version la plus récente, v2.121.0, devraient être en mesure de reprendre leurs transactions en toute sécurité, la mise à jour se faisant automatiquement.
Ledger n’a pas tardé à reagir
Deux heures après la découverte de la faille de sécurité, Ledger a rapidement agi en remplaçant la version compromise de son connecteur par une mise à jour sécurisée. Parallèlement, la société a alerté ses utilisateurs sur l’importance de vérifier avec attention les informations affichées durant les transactions. Ils ont insisté sur le fait que les données fiables sont celles qui apparaissent sur l’écran du dispositif Ledger. La société a aussi conseillé aux utilisateurs d’être vigilants et de stopper toute transaction si les informations affichées sur leur clé diffèrent de celles sur d’autres écrans.
Plus de peur de que mal : Tether, par l’intermédiaire de son dirigeant Paolo Ardoino , annoncé avoir gelé l’adresse de l’exploitant.
Morale de l’histoire : Même le chêne le plus fort plie sous le vent.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
