Pertes signalées, les utilisateurs sont invités à faire preuve de prudence
BlockAid, une société de cybersécurité spécialisée dans la sécurité Web3, a révélé que des pertes substantielles d’environ 150 000 $ avaient été subies en raison de l’intégration du code malveillant dans des sites Web actifs. Cependant, Ledger a assuré aux utilisateurs que tant qu’ils s’abstiennent d’effectuer des transactions, leurs actifs sont en sécurité.
Ido Ben-Natan, PDG de Ledger, a souligné que l’exploit ne pouvait pas être réalisé sans confirmation préalable des utilisateurs, mais a reconnu que de nombreux sites Web étaient affectés et a mis en garde contre l’impact potentiel sur les utilisateurs.
SushiSwap, une plateforme d’échange décentralisée, a résolu le problème sur sa plateforme et a reconnu la compromission du connecteur Ledger, qui pourrait permettre l’injection de code malveillant dans diverses applications décentralisées (dApps).
Mesures de précaution par Revoke.cash et Ledger
Par mesure de sécurité, Revoke.cash, un service permettant aux utilisateurs de récupérer les capacités de signature de transactions accordées aux applications Web3, a temporairement suspendu ses opérations frontales pour éviter toute tromperie des utilisateurs.
Ben-Natan a spécifiquement mis en garde contre les interactions avec Revoke.cash, compte tenu de sa vulnérabilité à l’attaque. Le compte officiel de Ledger a confirmé le vecteur d’attaque potentiel et a déclaré que le code malveillant avait depuis été éliminé.
La nouvelle version du logiciel Ledger est actuellement en cours de propagation et devrait neutraliser complètement la menace une fois activée, en fonction de la mise en cache des dApps tierces.
Rester prudent et informé
Bien que le code malveillant soit apparu récemment et puisse entraîner un vol de fonds uniquement si des mesures supplémentaires sont prises, les experts recommandent de faire preuve de prudence et de s’abstenir d’utiliser des applications Web de cryptographie. WalletConnect, une interface largement utilisée pour les développeurs dApp sans intégration directe avec Ledger, a également émis un avertissement aux utilisateurs.
Philip Costigan, responsable des relations publiques chez Ledger, a exhorté les utilisateurs à éviter d’interagir avec les dApps pour le moment et leur a assuré des mises à jour régulières au fur et à mesure de l’évolution de la situation.
Lors d’incidents précédents, tels que l’attaque de la plateforme de vente de jetons SushiSwap, les utilisateurs ont perdu environ 865 ETH (3 millions de dollars à l’époque et 2 millions de dollars actuellement). Ces attaques impliquaient une manipulation DNS pour rediriger les utilisateurs sans méfiance vers des versions contrefaites de sites Web de véritables plateformes, ce qui a conduit à la redirection des fonds vers les attaquants.
Mise à jour le 14 décembre 2023 à 8 h 34 HE, 8 h 53 HE, 9 h 03 HE et 9 h 15 HE avec des informations supplémentaires et des commentaires de Ledger et BlockAid.