Hack de SwissBorg et cheval de Troie géant : une nuit en enfer pour les cryptomonnaies

Le pire jour pour être un développeur crypto ? Dans la crypto, on a souvent l’impression que la paranoïa est une vertu. La nuit dernière, cette idée a pris tout son sens. Alors que l’écosystème crypto semblait calme, deux attaques majeures ont frappé simultanément. D’un côté, une attaque sournoise a infiltré le code JavaScript de centaines de milliers de projets. De l’autre, SwissBorg, une plateforme crypto a perdu des millions de dollars. Coïncidence ? Plutôt un double rappel brutal de la vulnérabilité de notre industrie dont la sécurité est encore immature. Explications.

L’attaque NPM : un cheval de Troie qui se cache dans votre code

La première alerte est venue de Charles Guillemet, CTO de Ledger, qui a sonné le tocsin : une attaque de « supply-chain » d’une ampleur inédite venait d’infecter l’écosystème JavaScript.

Dans les détails, les pirates ont compromis le compte NPM (un gestionnaire de paquets très utilisé) d’un développeur de confiance, « qix ».

Ils ont ensuite glissé du code malveillant dans des applications ultra populaires, téléchargées plus d’un milliard de fois par semaine. Ce code est capable de remplacer l’adresse du destinataire par la sienne en surveillant les transactions comme expliqué dans cet article. Pour passer inaperçu, il utilise un algorithme pour trouver une adresse pirate qui ressemble typographiquement à celle de la victime.

La deuxième technique est encore plus sournoise. Si vous utilisez un portefeuille logiciel comme MetaMask, le malware intercepte la transaction avant même qu’elle n’apparaisse pour la signature, modifiant l’adresse du destinataire.

La seule défense pour l’utilisateur (et votre nouveau réflexe sécurité) : avoir des yeux de lynx et vérifier l’adresse sur son portefeuille. Comme le souligne Charles Guillemet, la seule protection avérée est l’utilisation d’un portefeuille physique, qui affiche clairement les détails de la transaction sur un écran sécurisé avant la signature.

« Une attaque de chaîne d’approvisionnement à grande échelle est en cours : le compte NPM d’un développeur réputé a été compromis.

Les packages concernés ont déjà été téléchargés plus d’un milliard de fois, ce qui signifie que l’ensemble de l’écosystème JavaScript pourrait être menacé.

La charge malveillante fonctionne en échangeant silencieusement des adresses crypto à la volée pour voler des fonds.

Si vous utilisez un portefeuille matériel, soyez attentif à chaque transaction avant de signer pour plus de sécurité.

Si vous n’utilisez pas de portefeuille matériel, abstenez-vous d’effectuer des transactions sur la chaîne pour le moment. (…)

Charles Guillemet, CTO de Ledger – Source

Le hack de SwissBorg : quand une API fait voler 41 millions de dollars

Alors que la communauté des développeurs tentait d’assimiler la nouvelle, la foudre est tombée ailleurs pendant la soirée.

SwissBorg a annoncé sur X, puis sur un communiqué officiel, avoir été victime d’un hack de 41 millions de dollars. Le coupable ? L’API de leur partenaire de staking, Kiln. Pour faire simple, une API (Interface de Programmation Applicative) est un « pont » numérique qui permet à deux services de communiquer entre eux. Dans ce cas précis, cette porte entre l’application SwissBorg et le réseau de staking Solana a été forcée, permettant aux pirates de siphonner quelque 193 000 jetons SOL.

C’est l’équivalent d’un cambrioleur qui n’aurait pas à percer le coffre, mais posséderait tout simplement la clé pour l’ouvrir. L’attaque, d’une simplicité déconcertante, prouve que la sécurité ne dépend que de son maillon le plus faible. Dans ce cas, c’est un partenaire tiers qui a failli.

Heureusement, SwissBorg a rapidement rassuré ses utilisateurs, affirmant que le hack ne concerne que 1 % de ses clients et qu’il a les fonds nécessaires pour rembourser toutes les victimes. Une bonne nouvelle qui ne doit pas cacher l’essentiel : personne n’est à l’abri, même les plateformes les plus réputées.

« Incident SOL Earn et plan de reprise d’activité de SwissBorg

Une API partenaire a été compromise, impactant notre programme SOL Earn (~193 000 SOL, <1 % des utilisateurs).

Soyez rassurés, l’application SwissBorg reste entièrement sécurisée et tous les autres fonds des programmes Earn sont en sécurité à 100 %.

Notre plan de reprise d’activité.
Mesures immédiates
Affectation de la trésorerie SOL de SwissBorg afin que les utilisateurs puissent récupérer une part importante de leur solde ; les chiffres seront bientôt finalisés.

Mesures en cours

Collaboration avec des hackers white hat et des partenaires de sécurité pour récupérer les fonds compromis afin de garantir l’intégrité de tous les utilisateurs.

Nous contacterons les utilisateurs concernés par e-mail pour qu’ils aient des explications. Cet incident n’affecte pas d’autres programmes Earn Fonds de l’application SwissBorg

SwissBorg est en bonne santé financière et cet incident n’affecte pas les opérations quotidiennes (…). »

Swissborg – Source

De la supply-chain au portefeuille, la menace est partout

Bien que ces deux incidents n’aient, pour l’heure, aucun lien direct avéré, contrairement à ce que certains médias palabraient dans la précipitation, ils nous donnent deux leçons fondamentales sur la sécurité dans le Web3.

En effet, le hack de SwissBorg est un rappel brutal des risques liés aux services tiers et aux failles d’API, tandis que le cheval de Troie JavaScript nous alerte sur la menace omniprésente qui se cache dans le code. Ensemble, ils nous démontrent que le maillon le plus faible peut se trouver n’importe où, et que la vigilance est plus que jamais de mise.

Le message est clair : protégez vos fonds, vérifiez vos transactions et, si vous le pouvez, optez pour un portefeuille physique. Et n’oubliez pas, si c’est gratuit, c’est peut-être vous la victime. Les informations sur ces deux incidents sont encore fraîches. C’est une affaire que nous continuerons de suivre de près sur Le Journal du Coin.