Le fabricant de wallet crypto Ledger a confirmé une faille qui l'a amené à avertir les utilisateurs de «cesser d'utiliser les dapps» car un ancien employé est tombé dans une escroquerie de phishing.

Le nom et l'adresse e-mail de l'ancien employé sont apparus dans le code compromis. Initialement, la communauté crypto a pensé que le développeur lui-même était responsable de l'exploit, mais Ledger a ensuite confirmé que l'attaque avait commencé parce qu'«un ancien employé de Ledger est tombé victime d'une attaque de phishing».

L'attaquant a pu accéder au compte NPMJS de l'ancien employé - un gestionnaire de paquets pour le langage de programmation JavaScript. Les "packages" sont des bibliothèques que les développeurs peuvent utiliser pour construire des projets, plutôt que de coder tout à partir de zéro. Dans la communauté Web3, les développeurs utilisent des "packages" pour rendre leurs applications décentralisées accessibles à partir de différents portefeuilles.

Une fois que l'exploitant a eu accès à NPMJS, il a poussé une version malveillante du Kit de connexion Ledger. Tout projet utilisant Connect Kit aurait contenu un code malveillant capable de rediriger les fonds des utilisateurs vers un portefeuille de pirate informatique. Les versions impactées du Connect Kit sont 1.1.5, 1.1.6 et 1.1.7, qui ont depuis été supprimées de la page NPM de Ledger.

«Les équipes technologiques et de sécurité de Ledger ont été alertées et une solution a été déployée dans les 40 minutes suivant la prise de conscience de Ledger», a déclaré l'entreprise dans un communiqué partagé avec Decrypt. «Le fichier malveillant était en ligne pendant environ 5 heures, cependant, nous pensons que la période pendant laquelle les fonds ont été drainés était limitée à moins de deux heures.»

Ledger déclare maintenant avoir publié une nouvelle version du kit Connect (1.1.8) et toutes les portefeuilles qui l'utilisent seront mis à jour automatiquement. Cependant, il a mis en garde les utilisateurs en leur demandant d'attendre 24 heures avant d'essayer de se connecter à une application décentralisée.

«La quantité impressionnante de référentiels sur GitHub qui dépendent de connect-kit-loader suggère que les dommages causés à la chaîne d'approvisionnement des crypto-monnaies pourraient être importants, à moins que les développeurs utilisant ce package n'exercent une hygiène appropriée pour sa consommation», a déclaré Ilkka Turunen, directeur technique sur le terrain de la société de cybersécurité Sonatype, à Decrypt.

L'exploitation a provoqué une panique généralisée dans l'industrie.

«Nous sommes sérieusement dans la merde si un développeur peut cliquer sur un lien d'hameçonnage et compromettre presque toutes les interfaces utilisateur significatives des applications de l'écosystème», a écrit l'investisseur et conseiller Aftab Hossain (mieux connu sous le nom de DCInvestor) sur X (anciennement Twitter). «Relisez cette phrase encore et encore jusqu'à ce que nous intériorisions à quel point cela est absurde et inacceptable.»

https://twitter.com/iamDCinvestor/status/1735326515833782686

Pendant ce temps, l'émetteur de stablecoin Tether a gelé les fonds liés à la bourse utilisée par un exploiteur pour vider 484 000 $ des utilisateurs de DeFi jeudi matin, a déclaré Paolo Ardoino, PDG de Tether.

Au moment de la rédaction de cet article, la bourse contenait un peu plus de 27 000 $ de USDT et un total de 334 814 $. À un moment donné, la bourse contenait jusqu'à 484 000 $. Les données on-chain montrent que la bourse a transféré des fonds vers une liée à Angel Drainer. Le groupe de phishing est soupçonné d'être impliqué dans plusieurs autres piratages DeFi.

Les actifs volés comprennent également un NFT Doodle, dont le dernier prix était de 3,9 ETH, qui a depuis été marqué comme présentant une «activité suspecte» sur OpenSea.

Les drainers fonctionnent en convaincant les utilisateurs d'approuver une transaction qui donne secrètement au pirate informatique l'accès à d'autres fonds dans leur portefeuille. Les drainers eux-mêmes, qui ont toutes sortes de noms créatifs, sont loués à des groupes de piratage et les développeurs originaux prennent une part des gains illicites.

Édité par Guillermo Jimenez.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.