Avertissement de sécurité  : évitez d'utiliser des dApps en raison du piratage de Ledger Connectkit

Plusieurs applications de finance décentralisée (DeFi) ont été compromises plus tôt dans la journée en raison d’un code malveillant inséré dans la bibliothèque ConnectKit de Ledger. La vulnérabilité a permis un exploit drainant le portefeuille qui a incité les utilisateurs à connecter les portefeuilles lorsqu’ils visitaient les dapps concernées, donnant ainsi accès au vol de fonds.

Points clés

• Un code malveillant a été inséré dans la bibliothèque ConnectKit de Ledger, permettant à un « draineur de portefeuille » de voler des fonds sur les comptes des utilisateurs lors de la connexion à des applications décentralisées (dapps)
• L’attaque a affecté plusieurs dapps, notamment SushiSwap, Zapper, Balancer et Revoke.cash. Les utilisateurs ont été invités à connecter leurs portefeuilles, ce qui a permis de drainer des fonds
• Ledger a reconnu le problème et a déclaré avoir supprimé le code malveillant, mais les projets utilisant les bibliothèques concernées doivent être mis à jour pour rester sécurisés
• Les utilisateurs doivent éviter d’interagir avec les dapps qui utilisent le kit de connecteur de Ledger jusqu’à nouvel ordre, car la vulnérabilité peut toujours permettre de drainer des fonds
• Jusqu’à présent, les fonds drainés sont estimés à plusieurs centaines de milliers de dollars, mais l’impact global est encore en cours d’évaluation

Le problème a été signalé pour la première fois publiquement par les développeurs sur Twitter, avertissant les utilisateurs d’éviter d’interagir avec les dapps. Ledger a rapidement confirmé que sa bibliothèque ConnectKit avait été compromise et qu’il proposait une mise à jour pour remplacer le code malveillant. Cependant, Ledger a averti les utilisateurs de ne pas utiliser de dapps entre-temps.

Un certain nombre de plates-formes DeFi populaires ont été touchées, notamment le principal échange décentralisé SushiSwap. SushiSwap a mis son front-end hors ligne après avoir pris connaissance de l’attaque, avertissant les utilisateurs d’un problème critique avec le connecteur de Ledger. Les autres dapps concernés comprenaient Zapper, Balancer et Revoke.cash.

???????????? ALERTE ROUGE ???????????? :

N’interagissez avec AUCUNE dApp jusqu’à nouvel ordre. Il semble qu’un connecteur Web3 couramment utilisé ait été compromis, ce qui permet l’injection de code malveillant affectant de nombreuses dApps.

/li>

Le code malveillant exploitait le kit de connecteurs de Ledger, qui relie ses portefeuilles matériels à des applications décentralisées pour permettre la signature de transactions. Le code a inséré une adresse de portefeuille liée aux attaquants, permettant de drainer les fonds des comptes des utilisateurs lors de l’approbation des invites dans le portefeuille du navigateur MetaMask.

Bien que les portefeuilles matériels Ledger et l’application Ledger Live elle-même n’aient pas été compromis, le JavaScript malveillant injecté dans la bibliothèque ConnectKit a rendu les utilisateurs Web3 vulnérables lors de l’approbation des transactions sur les dapps.

Selon la société de cybersécurité BlockAid, qui a été la première à identifier la charge utile qui draine le portefeuille, au moins 150 000 $ ont déjà été volés. Cependant, l’ensemble des dégâts est encore en cours d’évaluation, car de nombreux dapps ont été compromis avant que Ledger ne parvienne à supprimer le code malveillant.

???? Nous avons détecté une attaque potentielle de la chaîne d’approvisionnement sur le kit ledgerconnect ????

L’attaquant a injecté une charge utile drainant le portefeuille dans le populaire package NPM.

co/2QJmKIGv9T.

Ledger a reconnu la responsabilité de cette vulnérabilité, le CTO de l’entreprise citant une « horrible série d’erreurs » qui ont permis de compromettre son réseau de diffusion de contenu. Cela a permis l’attaque JavaScript lorsque les utilisateurs interagissaient avec des dapps qui s’appuyaient sur Ledger ConnectKit.

????Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. ????

Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation.

Votre appareil Ledger et…

Même après que Ledger ait corrigé l’exploit, les plates-formes DeFi utilisant les bibliothèques concernées devront être mises à jour avant de pouvoir reconnecter en toute sécurité l’intégration du portefeuille. Les développeurs s’efforcent de proposer des correctifs pour éviter de nouveaux vols, car les utilisateurs sont avertis d’éviter les applications décentralisées pour le moment.

La cyberattaque souligne les risques associés à la connexion des portefeuilles matériels aux plates-formes DeFi et sert de rappel qui donne à réfléchir à la prudence avant d’approuver les transactions. Bien que les fonds ne soient probablement pas menacés si les utilisateurs s’abstiennent d’interagir avec les dapps, l’impact potentiel se fait toujours sentir.

Des centaines de milliers ont déjà été confirmés volés. Mais alors que de nombreux sites évaluent s’ils ont intégré sans le savoir les bibliothèques Ledger compromises, mettant ainsi en danger les fonds des utilisateurs, l’ensemble des dégâts de cette cyberattaque coordonnée sur l’infrastructure Web3 reste inconnu.