Ledger annonce son intention de résoudre les problèmes liés aux vulnérabilités récentes  : détails

  • Ledger va désactiver la signature aveugle pour les DApps d'Ethereum d'ici juin 2024.
  • Environ 600 000 $ ont été volés lors d'une récente faille de sécurité, Ledger s'engage à indemniser les victimes.
  • Un exploit a permis le drainage des fonds des utilisateurs via une version malveillante du Ledger Connect Kit, mais un correctif a été déployé rapidement.

Ledger, un fabricant de portefeuilles matériels, a annoncé son intention de désactiver la signature aveugle pour les applications décentralisées (DApps) de la machine virtuelle Ethereum (EVM) d’ici juin 2024.

La décision fait suite à un exploit dans lequel un drain de portefeuille a été ajouté à une bibliothèque utilisée par de nombreux DApp pour se connecter aux appareils Ledger.

Ledger annonce un plan pour indemniser les victimes

Dans un tweet, Ledger a révélé qu’environ 600 000 $ d’actifs cryptographiques avaient été volés lors du récent exploit. En réponse à la faille de sécurité, l’entreprise a annoncé son engagement à indemniser les victimes concernées.

Ledger annonce son intention de résoudre les problèmes liés aux vulnérabilités récentes  : détails

Il a déclaré qu’il mettrait fin à la pratique de la signature aveugle avec les appareils Ledger d’ici juin 2024.

en veillant à ce que de tels incidents soient évités à l’avenir et à ce que l’écosystème reste sûr.

Nous sommes conscients d’environ 600 000 $ d’actifs touchés, volés aux utilisateurs signant à l’aveugle sur les DApps EVM.

Registre…

La signature aveugle consiste à afficher des données brutes de signature de contrats intelligents, lisibles par les ordinateurs mais pas par les humains. La décision de l’entreprise de supprimer progressivement la signature aveugle est une étape vers l’établissement d’une nouvelle norme visant à améliorer la protection des utilisateurs et à promouvoir une signature claire dans les applications décentralisées.

Ledger a exhorté les développeurs de DApp à soutenir une signature claire et a souligné son engagement à prévenir de tels incidents à l’avenir, garantissant ainsi la sécurité de l’écosystème.

Selon Ledger, les actifs volés ont été récupérés auprès d’utilisateurs signant à l’aveugle sur les DApps EVM.

Les exploits du grand livre drainent le fonds

Lors du récent exploit de la semaine dernière, les développeurs sur Twitter ont identifié une version malveillante du Ledger Connect Kit, une bibliothèque facilitant la connexion entre les appareils Ledger et les DApps.

xyz.

MetaMask, un développeur de portefeuilles logiciels, a averti les utilisateurs de « cesser d’utiliser les DApps » suite à l’annonce de l’attaque. Dans une déclaration ultérieure, Ledger a confirmé que l’attaque avait eu lieu parce qu’un ancien employé avait été victime d’une attaque de phishing.

L’attaquant a accédé au compte NPMJS de l’ancien employé, lui permettant de diffuser une version malveillante du Ledger Connect Kit. Ce Connect Kit compromis a redirigé les fonds des utilisateurs de n’importe quel portefeuille se connectant à un DApp l’utilisant vers le portefeuille du pirate informatique.

Ledger a réagi rapidement, déployant un correctif dans les 40 minutes suivant l’alerte de ses équipes de sécurité. Entre-temps, une nouvelle version du Connect Kit (1.1.8) a été publiée. L’exploit n’a pas compromis les appareils Ledger et l’application Ledger Live.

Il convient de noter que Ledger a été critiqué pour sa sécurité. En 2020, une base de données de courrier électronique client Ledger a été piratée, exposant plus d’un million de courriers électroniques d’utilisateurs. Plus tôt cette année, le service volontaire de récupération basé sur l’identification de Ledger a également reçu des critiques de la part des utilisateurs, certains le qualifiant de « porte dérobée ».

OFFRE SPÉCIALE (Sponsorisée)