L'attaque du grand livre montre que l'entreprise n'a « rien appris » après plusieurs violations : développeur de l'ENS
Les membres de la communauté cryptographique ont publié leurs réponses à l’exploit Ledger Connect Kit qui a affecté plusieurs applications décentralisées (DApps) dans l’espace Web3.
Le 14 décembre, un pirate informatique a attaqué le front-end de plusieurs DApps à l’aide du connecteur de Ledger. L’exploiteur a piraté des applications majeures telles que SushiSwap, Phantom et Revoke.cash et volé au moins 484 000 $ d’actifs numériques.
Ledger a annoncé avoir résolu le problème trois heures après les premiers rapports sur l’attaque. Le PDG de l’entreprise, Pascal Gauthier, a déclaré qu’il s’agissait d’un incident isolé et a souligné qu’ils travaillaient avec les forces de l’ordre compétentes pour retrouver le pirate informatique et « le traduire en justice ».
Alors que Ledger affirme qu’il s’agit d’un événement isolé, Linea, un cumul de connaissances nulles de Consensys, a averti les utilisateurs de Web3 que la vulnérabilité pourrait affecter l’ensemble de l’écosystème de la machine virtuelle Ethereum (EVM).
Un jour après l’incident, les membres de la communauté sont allés sur X (Twitter) pour exprimer leurs sentiments sur l’incident du Ledger. Certains ont conseillé à leurs abonnés d’utiliser d’autres plates-formes de portefeuille, tandis que d’autres ont demandé à Ledger de tout rendre open source.
La sécurité de Ledger expliquée
Le 15 décembre, Brad Mills, partisan de Bitcoin (BTC), a demandé à ses abonnés X d’utiliser du matériel uniquement Bitcoin construit par des ingénieurs Bitcoin axés sur la sécurisation du BTC. Mills a exhorté les membres de la communauté à ne jamais intégrer leurs amis au BTC avec les portefeuilles matériels Ledger ou Trezor.
Faisant référence aux violations précédentes de Ledger, Nick Johnson, développeur d’Ethereum Name Service, a déclaré dans un article que personne ne devrait recommander son matériel ou utiliser ses bibliothèques.
À ce stade, je ne pense pas que quiconque devrait, en toute bonne conscience, recommander son matériel ou utiliser ses bibliothèques.
/blockquote>
Selon Johnson, Ledger a fait preuve d’un mépris constant pour la sécurité opérationnelle et ne mérite plus le « bénéfice du doute sur leur amélioration ».
En rapport: Les applications décentralisées suspendent Ledger Connect pendant le déploiement d’un correctif d’exploit
Lors du piratage du 14 décembre, l’attaquant a utilisé un exploit de phishing pour accéder à l’ordinateur d’un ancien employé de Ledger. Le compte JavaScript du gestionnaire de packages de nœuds de l’employé a été consulté, ce qui a conduit à la violation.
À la suite du piratage, un membre de la communauté a conseillé à Ledger de « tout rendre open source » et de laisser la communauté être son « chirurgien » pour les recoudre. La société a annoncé le 24 mai qu’elle avait rendu open source bon nombre de ses applications et qu’elle s’engageait à ouvrir davantage de son code.
Selon les membres de la communauté, la transparence n’est pas un luxe mais une bouée de sauvetage. « La confiance, une fois perdue, exige des veines ouvertes, et non des promesses voilées. »
Revue : « L’abstraction de compte » dynamise les portefeuilles Ethereum : guide des nuls
