Hack sur Ledger Connect Kit : le PDG Pascal Gauthier apporte des détails

Pascal Gauthier s’exprime sur l’incident du Ledger Connect Kit

Hier, l’écosystème Web3 a brièvement été plongé dans l’inconnu, lorsque plusieurs applications décentralisées ont appelé à ne plus utiliser leurs services jusqu’à nouvel ordre en raison d’une faille sur le Ledger Connect Kit.

L’attaque aurait pu être dramatique de par la portée dont elle pouvait bénéficier. Malgré tout, les dégâts ont été limités à 610 000 dollars environ, selon l’enquêteur on-chain ZachXBT. Tandis que l’écosystème a rapidement réagi, Pascal Gauthier, PDG de Ledger, s’est exprimé publiquement après coup pour apporter des détails sur les évènements.

Il explique ainsi que cette faille a été introduite suite à une attaque de phishing auprès d’un ancien employé. Cela a permis d’introduire du code malveillant au sein d'un « gestionnaire de packages pour le code JavaScript partagé entre les applications » (NPMJS).

Cette intrusion a ainsi affecté les versions 1.1.5 à 1.1.7 de Ledger Connect Kit, au travers d’une version frauduleuse de WalletConnect, redirigeant les fonds des victimes vers le portefeuille du hacker.

👉 Pour aller plus loin — Découvrez les bonnes pratiques pour limiter le risque de hack

Pascal Gauthier souligne alors la réactivité de ses équipes après la découverte de la situation :

« Les équipes de sécurité de Ledger ont été alertées, et une correction a été déployée dans les 40 minutes suivant la prise de conscience par Ledger. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de 2 heures. Ledger a collaboré avec WalletConnect, qui a rapidement désactivé le projet frauduleux. »

Les mesures prises et les leçons tirées

Pascal Gauthier explique que dans 99 % des cas, une personne seule ne peut déployer de nouveau code sans que celui-ci soit examiné par différents acteurs. En outre, un employé quittant l’entreprise voit ses accès retirés à tous les systèmes Ledger. Il explique ainsi que cet épisode permettra de tirer des leçons :

« Cet incident, malheureux et isolé, souligne que la sécurité est en constante évolution, nécessitant une amélioration continue de nos systèmes. Dans ce contexte, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d’approvisionnement au canal de distribution NPM. »

Maintenant que tous les correctifs nécessaires ont été apportés, les développeurs d’applications sont invités à utiliser la version 1.1.8 du Ledger Connect Kit, exempte de code frauduleux. Du côté de l’entreprise, les secrets permettant la publication de code sur le GitHub de Ledger ont été changés.

D’autre part, Tether a gelé les USDT impliqués dans le hack, l’adresse du hacker est visible sur Chainalysis, tandis que Ledger collabore maintenant avec les autorités afin de retrouver le ou les coupables.

Pascal Gauthier a aussi souligné le besoin pour l’industrie de relever ses normes de sécurité, expliquant que si c’est sa société qui a été ciblée cette fois-ci, « cela pourrait se produire à l’avenir avec un autre service ou bibliothèque ».

👉 Dans l’actualité également — Le développeur Luke Dashjr a-t-il enregistré les Ordinals en tant que « vulnérabilité » pour la cybersécurité des États-Unis ?

Malgré le danger que représentait cet incident pour la finance décentralisée (DeFi) tout entière, il est rassurant de voir à quel point l’écosystème a réagi rapidement pour contenir l’incendie.

Source : Ledger

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

1507 articles

Tous ses articles