Ledger avertit les utilisateurs de ne pas utiliser les applications web3 après qu’une attaque de la chaîne d’approvisionnement contre la bibliothèque « Ledger DApp Connect Kit » a été découverte en poussant un égouttoir de portefeuille JavaScript qui a volé 600 000 $en crypto et NFT.

Ledger est un portefeuille matériel qui permet aux utilisateurs d’acheter, de gérer et de stocker en toute sécurité leurs actifs numériques hors ligne, prenant en charge plusieurs crypto-monnaies, y compris Bitcoin et Ethereum.

La société propose une bibliothèque appelée « Ledger apps Connect Kit » qui permet aux applications web3 de se connecter aux portefeuilles matériels Ledger.

Aujourd’hui, Ledger avertit les utilisateurs que son kit Ledger Connect a été compromis pour inclure du code malveillant et que tous les utilisateurs doivent éviter d’utiliser des DApps pour le moment. Ce code malveillant ajouté à la bibliothèque est un égouttoir de portefeuille qui vole automatiquement les cryptos et les NFT des portefeuilles qui se connectent à l’application.

La version malveillante de la bibliothèque a été supprimée et une nouvelle version propre du kit, la version 1.1.8, a été téléchargée sur les canaux de distribution de Ledger à 14h35 CET. Cependant, tous les projets potentiellement affectés doivent remplacer leur version malveillante par une copie propre avant de pouvoir être réutilisés en toute sécurité.

Selon un avis sur le référentiel GitHub affecté, le code du draineur de portefeuille affecte les versions 1.1.5 à 1.1.7 du kit de connexion, injecté dans le package via un compte NPM compromis.

De plus, Ledger a conseillé aux utilisateurs de « Signer clairement » toutes les transactions, en suivant ces instructions.

Les utilisateurs doivent éviter toute interaction avec les DApps jusqu’à ce qu’ils aient confirmé qu’ils sont passés à une version sécurisée du Connect Kit.

La société a également mis en garde contre les attaques de phishing en cours qui tentent de tirer parti de la situation, conseillant aux utilisateurs de rester vigilants face aux messages leur demandant de partager leur phrase secrète de récupération de 24 mots.

Ledger a déclaré à Bleeping que sa bibliothèque avait été compromise après que son compte NPMJS ait été piraté ce matin lors d’une attaque de phishing contre un ancien employé.

« L’attaquant a publié une version malveillante du Ledger Connect Kit (affectant les versions 1.1.5, 1.1.6 et 1.1.7). »Ledger a dit à Breachtrace .

« Le code malveillant a utilisé un projet malveillant WalletConnect pour rediriger les fonds vers un portefeuille pirate. »

Ledger indique qu’un correctif a été déployé 40 minutes après que Ledger a pris connaissance de la violation et que la bibliothèque compromise n’était disponible que pendant 5 heures.

Ledger a assuré aux utilisateurs que le matériel de base (périphérique Ledger) et l’application logicielle principale (Ledger Live) utilisés pour gérer les actifs de crypto-monnaie n’ont pas été compromis ou directement affectés par cette attaque de la chaîne d’approvisionnement.

L’égouttoir à portefeuille
La société de sécurité Blockchain SlowMist rapporte que la compromission a commencé dans le Ledger Connect Kit 1.1.5 avec l’attaquant laissant un message dans le code, éventuellement en tant que test.

Dans les versions 1.1.6 et 1.1.7 du package, du code JavaScript malveillant fortement obscurci a également été implanté.

Breachtrace a analysé le script pour déterminer sa fonctionnalité et a constaté qu’il tentait de voler de la crypto-monnaie et des NFT à Coinbase, Trust Wallet et MetaMask.

Une partie du script déobfusqué

À l’heure actuelle, l’enquête sur l’incident est toujours en cours et l’impact ou les pertes réelles d’actifs dues au déploiement de l’égouttoir n’ont pas encore été déterminés.

Cependant, des rapports indiquent qu’environ 680 000 dollars ont été volés lors de l’attaque de la chaîne d’approvisionnement.

Ledger a déclaré à Breachtrace qu’ils avaient signalé les adresses de portefeuille du pirate informatique et que Tether avait gelé l’USDT volé.

Ledger a promis de publier plus de détails sur l’incident dans un rapport complet plus tard dans la journée, mais pour l’instant, ils se concentrent sur la sécurisation de la bibliothèque et l’enquête sur la violation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *