Ledger désactivera la signature aveugle sur les Dapps d’ici juin 2024

  • Ledger désactivera la signature aveugle sur les Dapps d'ici juin 2024 en réponse à un exploit
  • Environ 600 000 $ d'actifs cryptographiques ont été volés lors de l'exploit
  • L'attaque a été causée par une version malveillante du Ledger Connect Kit, mais les appareils Ledger et l'application Ledger Live n'ont pas été compromis

Le fabricant de portefeuille matériel Ledger désactivera la signature aveugle pour les applications décentralisées (dapps) EVM d’ici juin 2024, à la suite d’un exploit dans lequel un draineur de portefeuille a été ajouté à une bibliothèque utilisée par de nombreux développeurs pour se connecter à ses appareils.
Dans un tweet, Ledger a déclaré qu’environ 600 000 $ d’actifs cryptographiques avaient été volés lors de l’exploit. Il a annoncé que les victimes concernées seraient « guéries » et qu’il « n’autoriserait plus la signature aveugle avec les appareils Ledger d’ici juin 2024 ».
La signature aveugle implique l’affichage de données brutes de signature de contrats intelligents qui peuvent être analysées par des ordinateurs mais qui sont incompréhensibles pour un lecteur humain. Ledger a déjà préconisé une approche « ce que vous voyez est ce que vous signez » connue sous le nom de signature claire, dans laquelle la signature de contrat intelligent est analysée de manière lisible par l’homme.
Dans son annonce, Ledger a déclaré que son passage à la signature aveugle « conduirait à une nouvelle norme pour protéger les utilisateurs et encourager la signature claire dans les DApps », et a encouragé les développeurs de dapps à prendre en charge la signature claire.

Nous nous concentrons à 100 % sur le suivi de l’incident de sécurité de la semaine dernière, en veillant à ce que de tels incidents soient évités à l’avenir et à ce que l’écosystème reste sûr.

Nous sommes conscients d’environ 600 000 $ d’actifs touchés, volés aux utilisateurs signant à l’aveugle sur les DApps EVM.

Ledger désactivera la signature aveugle sur les Dapps d’ici juin 2024

Registre…

– Grand livre (@Ledger) 20 décembre 2023

Lors de l’exploit de la semaine dernière, une version malveillante du Ledger Connect Kit, une bibliothèque qui permet aux appareils Ledger de se connecter aux dapps, a été identifiée par les développeurs sur Twitter. La société de sécurité Web3 BlockAid a signalé que « l’attaquant a injecté une charge utile drainant le portefeuille » dans le package NPM du kit ledgerconnect, « ce qui lui a permis de drainer les fonds des utilisateurs qui se sont connectés sur des dapps, notamment Sushi.com et Hey.xyz.
Le développeur de portefeuilles logiciels MetaMask a averti les utilisateurs de « cesser d’utiliser les dapps » après l’annonce de l’attaque.
Dans un article de suivi, Ledger a confirmé que l’attaque avait eu lieu parce qu’un ancien employé avait été victime d’une attaque de phishing. L’attaquant a pu accéder au compte NPMJS de l’ancien employé, un gestionnaire de packages JavaScript, lui permettant de diffuser une version malveillante du Ledger Connect Kit. Le Connect Kit malveillant a ensuite redirigé les fonds des utilisateurs de n’importe quel portefeuille se connectant à une dapp l’utilisant vers le propre portefeuille du pirate informatique.
Ledger a déclaré qu’un correctif avait été déployé dans les 40 minutes suivant l’alerte des équipes de sécurité de l’entreprise et a proposé une nouvelle version du Connect Kit (1.1.8). Les appareils Ledger eux-mêmes, ainsi que l’application Ledger Live de l’entreprise, n’ont pas été compromis par l’exploit, a-t-il ajouté.
L’entreprise a déjà fait l’objet de critiques concernant sa sécurité. En 2020, une base de données de courrier électronique des clients de Ledger a été piratée, avec plus d’un million de courriers électroniques d’utilisateurs compromis, tandis qu’au début de cette année, le service volontaire de récupération basé sur l’identification de Ledger a été qualifié de « porte dérobée » par les utilisateurs. Le co-fondateur de Ledger, Éric Larchevêque, a décrit le déploiement du service Recover comme « un échec total en matière de relations publiques, mais absolument pas technique ».
Edité par Stacy Elliott.

Restez au courant de l’actualité crypto, recevez des mises à jour quotidiennes dans votre boîte de réception.