Ledger désactivera la signature aveugle sur les Dapps d'ici juin 2024

  • Ledger désactivera la signature aveugle sur les Dapps d'ici juin 2024 en réponse à un exploit
  • Environ 600 000 $ d'actifs cryptographiques ont été volés lors de l'exploit
  • L'attaque a été causée par une version malveillante du Ledger Connect Kit, mais les appareils Ledger et l'application Ledger Live n'ont pas été compromis

Le fabricant de portefeuille matériel Ledger désactivera la signature aveugle pour les applications décentralisées (dapps) EVM d’ici juin 2024, à la suite d’un exploit dans lequel un draineur de portefeuille a été ajouté à une bibliothèque utilisée par de nombreux développeurs pour se connecter à ses appareils.

Dans un tweet, Ledger a déclaré qu’environ 600 000 $ d’actifs cryptographiques avaient été volés lors de l’exploit. Il a annoncé que les victimes concernées seraient « guéries » et qu’il « n’autoriserait plus la signature aveugle avec les appareils Ledger d’ici juin 2024 ».

Ledger a déjà préconisé une approche « ce que vous voyez est ce que vous signez » connue sous le nom de signature claire, dans laquelle la signature de contrat intelligent est analysée de manière lisible par l’homme.

Ledger désactivera la signature aveugle sur les Dapps d'ici juin 2024

Dans son annonce, Ledger a déclaré que son passage à la signature aveugle « conduirait à une nouvelle norme pour protéger les utilisateurs et encourager la signature claire dans les DApps », et a encouragé les développeurs de dapps à prendre en charge la signature claire.

en veillant à ce que de tels incidents soient évités à l’avenir et à ce que l’écosystème reste sûr.

Nous sommes conscients d’environ 600 000 $ d’actifs touchés, volés aux utilisateurs signant à l’aveugle sur les DApps EVM.

Registre…

xyz.

Le développeur de portefeuilles logiciels MetaMask a averti les utilisateurs de « cesser d’utiliser les dapps » après l’annonce de l’attaque.

Dans un article de suivi, Ledger a confirmé que l’attaque avait eu lieu parce qu’un ancien employé avait été victime d’une attaque de phishing. L’attaquant a pu accéder au compte NPMJS de l’ancien employé, un gestionnaire de packages JavaScript, lui permettant de diffuser une version malveillante du Ledger Connect Kit. Le Connect Kit malveillant a ensuite redirigé les fonds des utilisateurs de n’importe quel portefeuille se connectant à une dapp l’utilisant vers le propre portefeuille du pirate informatique.

Ledger a déclaré qu’un correctif avait été déployé dans les 40 minutes suivant l’alerte des équipes de sécurité de l’entreprise et a proposé une nouvelle version du Connect Kit (1.1.8). Les appareils Ledger eux-mêmes, ainsi que l’application Ledger Live de l’entreprise, n’ont pas été compromis par l’exploit, a-t-il ajouté.

L’entreprise a déjà fait l’objet de critiques concernant sa sécurité. En 2020, une base de données de courrier électronique des clients de Ledger a été piratée, avec plus d’un million de courriers électroniques d’utilisateurs compromis, tandis qu’au début de cette année, le service volontaire de récupération basé sur l’identification de Ledger a été qualifié de « porte dérobée » par les utilisateurs. Le co-fondateur de Ledger, Éric Larchevêque, a décrit le déploiement du service Recover comme « un échec total en matière de relations publiques, mais absolument pas technique ».