Comment un seul lien de phishing a déclenché le chaos sur la cryptographie
Le fabricant de portefeuilles cryptographiques Ledger a confirmé un exploit qui l’a amené à avertir les utilisateurs de « cesser d’utiliser les dapps », lancé parce qu’un ancien employé était tombé dans une escroquerie par phishing.
Le nom et l’adresse e-mail de l’ancien employé figuraient dans le code compromis. Initialement, la communauté crypto a cru que le développeur lui-même était responsable de l’exploit, mais Ledger a confirmé plus tard que l’attaque avait commencé parce qu’« un ancien employé de Ledger avait été victime d’une attaque de phishing ».
L’attaquant a pu accéder au compte NPMJS de l’ancien employé, un gestionnaire de packages pour le langage de programmation JavaScript. Les packages sont des bibliothèques que les développeurs peuvent utiliser pour créer des projets, plutôt que de tout coder à partir de zéro. Dans la communauté Web3, les développeurs utilisent des packages pour rendre leurs applications décentralisées accessibles depuis différents portefeuilles.
Une fois que l’exploiteur a eu accès à NPMJS, il a poussé une version malveillante du Ledger Connect Kit. Tout projet utilisant Connect Kit aurait contenu un code malveillant susceptible de rediriger les fonds d’un utilisateur vers un portefeuille de pirate informatique. Les versions concernées du Connect Kit sont 1.
1.5, 1.1.
6 et 1.1.7, qui ont toutes depuis été supprimées de la page NPM du Ledger.
« Les équipes technologiques et de sécurité de Ledger ont été alertées et un correctif a été déployé dans les 40 minutes suivant la prise de conscience de Ledger », a déclaré la société dans un communiqué partagé avec Decrypt. « Le fichier malveillant est resté actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été drainés a été limitée à une période de moins de deux heures. »
Ledger indique maintenant avoir lancé une nouvelle version du Connect Kit (1.
1.8) et que tous les portefeuilles qui l’utilisent seront mis à jour automatiquement. Mais il a averti que les utilisateurs devraient toujours attendre 24 heures avant d’essayer de se connecter à une application décentralisée.
« Le grand nombre de référentiels sur GitHub uniquement qui s’appuient sur connect-kit-loader suggère que les dommages causés à la chaîne d’approvisionnement cryptographique pourraient être importants à moins que les développeurs utilisant ce package ne fassent preuve d’une bonne hygiène de consommation », Ilkka Turunen, directeur technique de la cybersécurité. société Sonatype, a déclaré à Decrypt.
Cet exploit a provoqué une panique généralisée au sein de l’industrie.
« Nous sommes vraiment foutus si un développeur peut cliquer sur un lien de phishing et compromettre presque toutes les applications significatives de l’écosystème », a écrit l’investisseur et conseiller Aftab Hossain (mieux connu sous le nom de DCInvestor) sur X (anciennement Twitter). « Lisez cette phrase encore et encore jusqu’à ce que nous comprenions à quel point c’est absurde et inacceptable. »
https://twitter.
com/iamDCinvestor/status/1735326515833782686
Pendant ce temps, l’émetteur de stablecoin Tether a gelé jeudi matin les fonds liés au portefeuille utilisé par un exploiteur pour drainer 484 000 $ des utilisateurs de DeFi, a déclaré Paolo Ardoino, PDG de Tether.
Au moment d’écrire ces lignes, le portefeuille contenait un peu plus de 27 000 $ d’USDT et un total de 334 814 . » À un moment donné, le portefeuille contenait jusqu’à 484 000 . »
Les données en chaîne montrent que le portefeuille a transféré des fonds vers un portefeuille lié à Angel Drainer. Le groupe de phishing est soupçonné d’avoir été impliqué dans un certain nombre d’autres hacks DeFi.
Les actifs volés contiennent également un Doodle NFT, dont le dernier prix était de 3,9 ETH, qui a depuis été marqué pour « activité suspecte » sur OpenSea.
Les draineurs fonctionnent en convainquant les utilisateurs d’approuver une transaction qui donne secrètement au pirate informatique un accès à d’autres fonds dans leur portefeuille. Les draineurs eux-mêmes, qui portent toutes sortes de noms créatifs, sont loués à des groupes de hackers et les développeurs originaux prennent une part des gains illicites.
Edité par Guillermo Jiménez.