Ledger s'engage à rembourser intégralement les victimes de l'attaque ConnectKit de 600 000 $

Le fabricant de portefeuilles matériels Ledger a réagi à une récente faille de sécurité entraînant le vol d’actifs d’utilisateurs d’une valeur de 600 000 $.

La société s’est engagée à améliorer ses protocoles de sécurité en éliminant la signature aveugle, un processus dans lequel les transactions sont affichées en code plutôt qu’en langage simple, d’ici juin 2024.

Ledger assume la responsabilité de l’attaque ConnectKit

Dans un communiqué, Ledger a souligné qu’il se concentrait sur la résolution du récent incident de sécurité et sur la prévention d’événements similaires à l’avenir.

La société a reconnu qu’environ 600 000 $ d’actifs ont été touchés par l’attaque ConnectKit, affectant particulièrement la signature aveugle des utilisateurs sur les applications décentralisées (dApps) de la machine virtuelle Ethereum (EVM).

En outre, Ledger s’est engagé à garantir que les victimes concernées soient entièrement indemnisées, y compris les clients non-Ledger, le PDG et président Pascal Gauthier supervisant personnellement le processus de restitution.

De plus, d’ici juin 2024, la signature aveugle ne sera plus prise en charge sur les appareils Ledger, contribuant ainsi à une « nouvelle norme de protection des utilisateurs » et plaidant en faveur d’une « signature claire », qui fait référence à un processus permettant aux utilisateurs de vérifier les transactions sur leur Ledger. appareils avant de les signer sur dApps.

À ce sujet, le PDG de Ledger, Pascal Gauthier, a déclaré :

Mon engagement personnel  : Ledger consacrera autant de ressources internes et externes que possible pour aider les personnes concernées à récupérer leurs avoirs.

Mesures de sécurité renforcées pour les dApp

Selon un rapport d’incident publié par le fabricant du portefeuille matériel, l’attaque a exploité le kit Ledger Connect, injectant du code malveillant dans les dApp utilisant le kit.

Ce code malveillant a redirigé les actifs vers les portefeuilles de l’attaquant, incitant les utilisateurs d’EVM dApp à « signer sans le savoir des transactions » qui ont vidé leurs portefeuilles.

Ledger a répondu à l’attaque en déployant un véritable correctif pour le kit Connect dans les 40 minutes suivant la détection. Le code compromis est resté accessible pendant une durée limitée en raison de la nature des réseaux de diffusion de contenu (CDN) et des mécanismes de mise en cache.

Ledger a reconnu les risques auxquels l’ensemble du secteur est confronté dans la protection des utilisateurs et a souligné la nécessité de continuellement relever la barre en matière de sécurité dans les dApps.

L’entreprise prévoit de renforcer ses contrôles d’accès, de réaliser des audits des outils internes et externes, de renforcer la signature de code et d’améliorer les systèmes de surveillance et d’alerte des infrastructures.

De plus, Ledger informera les utilisateurs sur l’importance de Clear Signing et les risques potentiels associés aux transactions de signature aveugle sans affichage sécurisé.

Notamment, avec Clear Signing, les utilisateurs se voient présenter une représentation claire et lisible des détails de la transaction, leur permettant d’examiner et de valider la transaction avant de fournir leur signature.

Cette couche supplémentaire de transparence et de vérification aide les utilisateurs à atténuer les risques associés aux attaques frontales ou au code malveillant injecté dans les applications décentralisées.

com

Il ne représente pas les opinions de NewsBTC sur l’opportunité d’acheter naturellement