Wallet Attack. La société Ledger a vécu hier l’une des pires expériences possibles pour un spécialiste de la protection des cryptomonnaies. En effet, suite à une attaque de phishing ciblée, un code malveillant à été inséré dans sa bibliothèque logicielle. Dans le cas présent, il s’agissait d’une version corrompue de Ledger ConnectKit à l’origine de l’ouverture d’une faille de sécurité critique. Très rapidement, de nombreux acteurs de l’écosystème se sont mobilisés afin de limiter les dégâts. Comme le géant Tether, à l’origine du gèle de 44 000 $ en stablecoins USDT. Retour sur cette affaire crypto de fin d’année.
Ledger victime d’une attaque malveillante
Tout se déroulait normalement en ce jeudi 14 décembre. Puis, une information est tombée dans l’après-midi comme un couperet : le portefeuille Ledger était victime d’une faille de sécurité critique. Et rapidement, de nombreuses opérations ont été menées afin d’identifier le problème et d’y apporter une solution efficace.
« Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation. Votre appareil Ledger et Ledger Live n’ont pas été compromis. »
Ledger
L’une des premières consignes publiées par ce leader des hardwares wallet a été de ne plus interagir avec des protocoles de la DeFi.
Car selon toute vraisemblance, l’attaquant à l’origine de cette affaire avait ciblé ce genre de transactions. Cela suite à la publication d’une « version malveillante du Ledger Connect Kit (affectant les versions 1.1.5, 1.1.6 et 1.1.7) ». De ce fait, les fonds étaient automatiquement redirigés vers le portefeuille du pirate informatique.
Plus de 480 000 $ détournés
À l’origine de cette faille, un ancien employé de la société Ledger visiblement ciblé par une attaque de phishing. Ce qui a permis au pirate informatique de corrompre le bon fonctionnement du service WalletConnect pendant une durée estimée à 5 heures. Mais selon les spécialistes de Ledger, « la fenêtre pendant laquelle les fonds ont été drainés a été limitée à une période de moins de deux heures ».
En effet, un correctif a été déployé dans les 40 minutes qui ont suivi la prise de connaissance de cette faille. Et dans le même temps, un avertissement de sécurité a été publié sur le réseau X à l’attention de ses utilisateurs.
« Nous aimerions rappeler à la communauté de toujours signer clairement vos transactions – rappelez-vous que les adresses et les informations présentées sur votre écran Ledger sont les seules informations authentiques. S’il y a une différence entre l’écran affiché sur votre appareil Ledger et l’écran de votre ordinateur/téléphone, arrêtez immédiatement cette transaction. »
Ledger
Malgré tout ces efforts, le hacker aurait tout de même réussi à détourner plus de 480 000 $ durant cette période. Un montant qui n’a toutefois pas été confirmé par la société Ledger. Cette dernière actuellement occupée à « travailler de manière proactive » avec les clients concernés par cette attaque.
Tether gèle 44 000 $ en stablecoins USDT
Suite à cette affaire, le géant Tether a procédé au gel de tous les stablecoins USDT détenus sur l’adresse du pirate informatique. Une opération annoncée publiquement sur le réseau X par son nouveau PDG, Paolo Ardoino.
« Tether vient de geler l’adresse de l’exploiteur Ledger »
Paolo Ardoino
Dans les faits cela représente tout juste un peu moins de 10 % du montant total des fonds détournés. Car l’adresse impliquée dans cette affaire contient 44 000 $ en USDT. Ces derniers devenus pour le coup impossibles à déplacer ou à échanger.
La société Ledger demande aux développeurs de bien s’assurer d’utiliser la dernière « version 1.1.8 authentique et vérifiée du Ledger Connect Kit ». Dans le même temps, elle annonce avoir déposé une plainte afin de travailler à l’identification de son agresseur, avec l’aide des forces de l’ordre. La question reste de savoir quelle solution sera proposée à ses utilisateurs lésés.
