« Arrêtez d'utiliser Dapps »  : la bibliothèque de registres « compromise » avec Wallet Drainer

Le fabricant de portefeuille matériel Ledger a averti les utilisateurs de ne pas se connecter aux applications décentralisées (dapps), après qu’une version malveillante du Ledger Connect Kit a été identifiée.

Un porte-parole de Ledger a déclaré à Decrypt : « Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Le porte-parole a ajouté que les appareils Ledger et son application Ledger Live n’étaient pas compromis et que l’entreprise « tiendrait les utilisateurs informés à mesure que la situation évolue ».

Le développeur de portefeuilles logiciels MetaMask a également averti les utilisateurs de « cesser d’utiliser les dapps » dès l’annonce de l’attaque.

La version compromise du Connect Kit, une bibliothèque qui permet au portefeuille matériel Ledger de se connecter aux dapps, a été identifiée pour la première fois par les développeurs publiant sur Twitter.

🚨Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. 🚨

Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation.

Votre appareil Ledger et…

xyz, ont été affectées..

🚨 Nous avons détecté une attaque potentielle de la chaîne d’approvisionnement sur le kit ledgerconnect 🚨

L’attaquant a injecté une charge utile drainant le portefeuille dans le populaire package NPM.

co/2QJmKIGv9T.

Matthew Lilley, directeur technique de SushiSwap, a fustigé Ledger pour une « chaîne de terribles erreurs », expliquant que « un connecteur web3 couramment utilisé a été compromis, ce qui permet l’injection de code malveillant affectant de nombreuses dApps ».

Il a ajouté que les utilisateurs devraient éviter d’utiliser des dapps « jusqu’à ce que leurs équipes confirment qu’elles ont atténué l’attaque ».

Hudson Jameson, agent de liaison avec les développeurs principaux d’Ethereum, a expliqué que « une bibliothèque utilisée par de nombreux dapps et maintenue par Ledger a été compromise et un drain de portefeuille a été ajouté. » Réitérant qu’« il est risqué d’utiliser des dapps actuellement si vous ne comprenez pas quelles bibliothèques backend ils utilisent », Jameson a ajouté que « même après que Ledger ait corrigé le mauvais code dans leur bibliothèque, les projets utilisant et déployant cette bibliothèque devront mettre à jour choses avant qu’il soit sûr d’utiliser des dapps qui utilisent les bibliothèques web3 de Ledger.

Ledger a fait l’objet de critiques concernant sa sécurité ces derniers mois, le service volontaire de récupération basé sur l’identification de l’entreprise suscitant la colère des utilisateurs de crypto.

Le service, qui n’a aucun rapport avec l’attaque d’aujourd’hui, divise la phrase de départ de l’utilisateur et la stocke chez trois dépositaires distincts, obligeant l’utilisateur à fournir son passeport ou sa carte d’identité nationale comme pièce d’identité. Alors que des utilisateurs en colère qualifiaient le service de « porte dérobée », le co-fondateur de Ledger, Éric Larchevêque, a qualifié le déploiement du service de « échec total en matière de relations publiques, mais absolument pas technique ».

En novembre, une application Ledger frauduleuse sur le Microsoft App Store a détourné près d’un million de dollars de clients sans méfiance, tandis qu’en 2020, l’entreprise a fait l’objet de critiques après le piratage d’une base de données de courrier électronique de clients, avec plus d’un million de courriers électroniques d’utilisateurs compromis.