ledger hack
Actualités

Une Faille de sécurité dans la bibliothèque Ledger ConnectKit compromet plusieurs dapps

Par Julien Lavaud , le décembre 14, 2023 , mis à jour le décembre 14, 2023 — Ledger - 2 minutes de lecture
Noter cet Article

Compromission Critique Affectant Diverses dApps via la Bibliothèque Ledger ConnectKit

Une découverte alarmante a été révélée le 14 décembre 2023, faisant état d’une brèche de sécurité majeure touchant de multiples applications décentralisées (dApps). L’origine de ce problème critique provient d’une faille découverte dans une bibliothèque logicielle associée à Ledger, un important fournisseur de portefeuilles matériels pour cryptomonnaies.

Aperçu de l’Incident

  • Plusieurs dApps décentralisées sont touchées par une vulnérabilité de sécurité de grande ampleur.
  • La vulnérabilité prend racine dans la bibliothèque logicielle “LedgerHQ” qui est essentielle pour la liaison des dApps avec les services de portefeuille crypto.

Impact sur les dApps et Mesures Prises

La faille permettrait d’introduire du code malicieux dans les interfaces utilisateurs de diverses dApps, représentant une menace sérieuse pour la sécurité des utilisateurs et la protection de leurs fonds. SushiSwap, Kyber, RevokeCash et Zapper figurent parmi les interfaces potentiellement vulnérables. Kyber et RevokeCash ont d’ailleurs annoncé avoir désactivé leurs interfaces dès l’annonce de la compromise.

Des rapports indiquent que la bibliothèque a été remplacée par un logiciel malveillant mis en place par des pirates informatiques, visant à siphonner des actifs. La société de sécurité Blockaid qualifie cela d’attaque de la chaîne d’approvisionnement visant le Ledger Connect Kit et estime à environ 150 000 dollars les pertes subies en seulement quelques heures.

Sources de la Compromission et Solution

Matthew Lilly, le directeur technique de Sushi, suggère que la vulnérabilité pourrait découler d’une compromission d’un réseau de diffusion de contenu (CDN) utilisé pour héberger cette bibliothèque logicielle. Parvenu à cette conjecture, il met en garde contre l’utilisation de toute dApp tant que la sécurité n’est pas rétablie.

En réponse à cette menace, un correctif a été élaboré et distribué sous forme de mise à jour, nécessitant une adoption rapide de la part des dApps pour assurer un environnement sécurisé. Ledger a confirmé avoir remplacé la version malicieuse de Ledger Connect Kit et travaille activement à la diffusion d’une version authentique.

Que faut t’il faire ?

Maj 21h14 :

Ledger affirme que la mise à jour est déployée et qu’il est désormais possible de réutiliser l’appareil.

https://x.com/Ledger/status/1735370531224834430

Julien Lavaud

Bonjour ! Je m'appelle Julien, j'ai 35 ans et je suis passionné par les nouvelles technologies et les cryptomonnaies. Sur ce site, je partage avec vous mes découvertes et mes réflexions sur ces sujets passionnants.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.