Le fabricant de wallet crypto Ledger a confirmé une faille qui l'a amené à avertir les utilisateurs de «cesser d'utiliser les dapps» car un ancien employé est tombé dans une escroquerie de phishing.
Le nom et l'adresse e-mail de l'ancien employé sont apparus dans le code compromis. Initialement, la communauté crypto a pensé que le développeur lui-même était responsable de l'exploit, mais Ledger a ensuite confirmé que l'attaque avait commencé parce qu'«un ancien employé de Ledger est tombé victime d'une attaque de phishing».
L'attaquant a pu accéder au compte NPMJS de l'ancien employé - un gestionnaire de paquets pour le langage de programmation JavaScript. Les "packages" sont des bibliothèques que les développeurs peuvent utiliser pour construire des projets, plutôt que de coder tout à partir de zéro. Dans la communauté Web3, les développeurs utilisent des "packages" pour rendre leurs applications décentralisées accessibles à partir de différents portefeuilles.
Une fois que l'exploitant a eu accès à NPMJS, il a poussé une version malveillante du Kit de connexion Ledger. Tout projet utilisant Connect Kit aurait contenu un code malveillant capable de rediriger les fonds des utilisateurs vers un portefeuille de pirate informatique. Les versions impactées du Connect Kit sont 1.1.5, 1.1.6 et 1.1.7, qui ont depuis été supprimées de la page NPM de Ledger.

Bitcoin and Ethereum Rebound From Wallet Hack Wobble
Bitcoin (BTC) is back up again after having dipped following news that one of the biggest crypto wallet brands had been hacked. The biggest digital asset by market cap is now trading for $42,548 per coin, a 2% 24-hour rise, according to CoinGecko. Immediately following news of a exploit impacting decentralized apps, Bitcoin lost almost $1,000 off its price within 30 minutes. But over the past seven days, it is down by close to 3%. Still, the cryptocurrency touted as "digital gold" by some has la...
«Les équipes technologiques et de sécurité de Ledger ont été alertées et une solution a été déployée dans les 40 minutes suivant la prise de conscience de Ledger», a déclaré l'entreprise dans un communiqué partagé avec Decrypt. «Le fichier malveillant était en ligne pendant environ 5 heures, cependant, nous pensons que la période pendant laquelle les fonds ont été drainés était limitée à moins de deux heures.»
Ledger déclare maintenant avoir publié une nouvelle version du kit Connect (1.1.8) et toutes les portefeuilles qui l'utilisent seront mis à jour automatiquement. Cependant, il a mis en garde les utilisateurs en leur demandant d'attendre 24 heures avant d'essayer de se connecter à une application décentralisée.
«La quantité impressionnante de référentiels sur GitHub qui dépendent de connect-kit-loader suggère que les dommages causés à la chaîne d'approvisionnement des crypto-monnaies pourraient être importants, à moins que les développeurs utilisant ce package n'exercent une hygiène appropriée pour sa consommation», a déclaré Ilkka Turunen, directeur technique sur le terrain de la société de cybersécurité Sonatype, à Decrypt.
L'exploitation a provoqué une panique généralisée dans l'industrie.

'Stop Using Dapps': Ledger Library 'Compromised' With Wallet Drainer
Hardware wallet manufacturer Ledger has warned users not to connect to decentralized applications (dapps), after a malicious version of the Ledger Connect Kit was identified. A spokesperson for Ledger told Decrypt that, “We have identified and removed a malicious version of the Ledger Connect Kit. A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment.” The spokesperson added that Ledger devices and its Ledger Live app were not compromi...
«Nous sommes sérieusement dans la merde si un développeur peut cliquer sur un lien d'hameçonnage et compromettre presque toutes les interfaces utilisateur significatives des applications de l'écosystème», a écrit l'investisseur et conseiller Aftab Hossain (mieux connu sous le nom de DCInvestor) sur X (anciennement Twitter). «Relisez cette phrase encore et encore jusqu'à ce que nous intériorisions à quel point cela est absurde et inacceptable.»
https://twitter.com/iamDCinvestor/status/1735326515833782686
Pendant ce temps, l'émetteur de stablecoin Tether a gelé les fonds liés à la bourse utilisée par un exploiteur pour vider 484 000 $ des utilisateurs de DeFi jeudi matin, a déclaré Paolo Ardoino, PDG de Tether.
Au moment de la rédaction de cet article, la bourse contenait un peu plus de 27 000 $ de USDT et un total de 334 814 $. À un moment donné, la bourse contenait jusqu'à 484 000 $. Les données on-chain montrent que la bourse a transféré des fonds vers une liée à Angel Drainer. Le groupe de phishing est soupçonné d'être impliqué dans plusieurs autres piratages DeFi.
Les actifs volés comprennent également un NFT Doodle, dont le dernier prix était de 3,9 ETH, qui a depuis été marqué comme présentant une «activité suspecte» sur OpenSea.
Les drainers fonctionnent en convaincant les utilisateurs d'approuver une transaction qui donne secrètement au pirate informatique l'accès à d'autres fonds dans leur portefeuille. Les drainers eux-mêmes, qui ont toutes sortes de noms créatifs, sont loués à des groupes de piratage et les développeurs originaux prennent une part des gains illicites.
Édité par Guillermo Jimenez.