Hack sur Ledger Connect Kit : le PDG Pascal Gauthier apporte des détails
Après l’inquiétude de toute la finance décentralisée (DeFi) suite au code malveillant déployé dans le Ledger Connect Kit, Pascal Gauthier a pris la parole. Que faut-il retenir de cet évènement ?
Pascal Gauthier s’exprime sur l’incident du Ledger Connect Kit
Hier, l’écosystème Web3 a brièvement été plongé dans l’inconnu, lorsque plusieurs applications décentralisées ont appelé à ne plus utiliser leurs services jusqu’à nouvel ordre en raison d’une faille sur le Ledger Connect Kit.
L’attaque aurait pu être dramatique de par la portée dont elle pouvait bénéficier. Malgré tout, les dégâts ont été limités à 610 000 dollars environ, selon l’enquêteur on-chain ZachXBT. Tandis que l’écosystème a rapidement réagi, Pascal Gauthier, PDG de Ledger, s’est exprimé publiquement après coup pour apporter des détails sur les évènements.
Il explique ainsi que cette faille a été introduite suite à une attaque de phishing auprès d’un ancien employé. Cela a permis d’introduire du code malveillant au sein d'un « gestionnaire de packages pour le code JavaScript partagé entre les applications » (NPMJS).
Cette intrusion a ainsi affecté les versions 1.1.5 à 1.1.7 de Ledger Connect Kit, au travers d’une version frauduleuse de WalletConnect, redirigeant les fonds des victimes vers le portefeuille du hacker.
👉 Pour aller plus loin — Découvrez les bonnes pratiques pour limiter le risque de hack
Pascal Gauthier souligne alors la réactivité de ses équipes après la découverte de la situation :
Formez-vous avec Alyra pour intégrer l'écosystème blockchain« Les équipes de sécurité de Ledger ont été alertées, et une correction a été déployée dans les 40 minutes suivant la prise de conscience par Ledger. Le fichier malveillant était actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été détournés était limitée à moins de 2 heures. Ledger a collaboré avec WalletConnect, qui a rapidement désactivé le projet frauduleux. »
Les mesures prises et les leçons tirées
Pascal Gauthier explique que dans 99 % des cas, une personne seule ne peut déployer de nouveau code sans que celui-ci soit examiné par différents acteurs. En outre, un employé quittant l’entreprise voit ses accès retirés à tous les systèmes Ledger. Il explique ainsi que cet épisode permettra de tirer des leçons :
« Cet incident, malheureux et isolé, souligne que la sécurité est en constante évolution, nécessitant une amélioration continue de nos systèmes. Dans ce contexte, Ledger mettra en place des contrôles de sécurité renforcés, liant notre chaîne de construction qui applique une sécurité stricte de la chaîne d’approvisionnement au canal de distribution NPM. »
Maintenant que tous les correctifs nécessaires ont été apportés, les développeurs d’applications sont invités à utiliser la version 1.1.8 du Ledger Connect Kit, exempte de code frauduleux. Du côté de l’entreprise, les secrets permettant la publication de code sur le GitHub de Ledger ont été changés.
D’autre part, Tether a gelé les USDT impliqués dans le hack, l’adresse du hacker est visible sur Chainalysis, tandis que Ledger collabore maintenant avec les autorités afin de retrouver le ou les coupables.
Pascal Gauthier a aussi souligné le besoin pour l’industrie de relever ses normes de sécurité, expliquant que si c’est sa société qui a été ciblée cette fois-ci, « cela pourrait se produire à l’avenir avec un autre service ou bibliothèque ».
👉 Dans l’actualité également — Le développeur Luke Dashjr a-t-il enregistré les Ordinals en tant que « vulnérabilité » pour la cybersécurité des États-Unis ?
Malgré le danger que représentait cet incident pour la finance décentralisée (DeFi) tout entière, il est rassurant de voir à quel point l’écosystème a réagi rapidement pour contenir l’incendie.
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSource : Ledger
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Bonjour est ce qu'il va rembourser les gens lésés ??? l’article ne le précise pas, c'est pourtant lune des actions majeurs qu'un fournisseur se doit d'accomplir auprès de ses clients afin de conserver leur confiance ....
Bonjour, Pascal Gauthier, le PDG de Ledger, a indiqué sur Twitter que « Ledger consacrera autant de ressources internes et externes que possible pour aider les personnes concernées à récupérer leurs avoirs. »
il fallait simplement repondre non a la question . tout le reste c est du tralala