Ledger : après le hack, l’entreprise s’engage à dédommager les victimes d’ici février 2024
Après le hack ayant touché son Connect Kit, Ledger s’est engagée à ce que les victimes soient dédommagées d’ici la fin du mois de février 2024. Retour sur les actions mises en place.
Ledger promet son aide aux victimes du hack du 14 décembre
La semaine dernière, le Connect Kit de Ledger a été victime d’un hack, entraînant environ 600 000 dollars de pertes auprès d’utilisateurs ayant signé des autorisations frauduleuses.
Rapidement après l’incident, Pascal Gauthier, le PDG de l’entreprise, s’était engagé à ce que Ledger consacre « autant de ressources internes et externes que possible pour aider les personnes concernées à récupérer leurs avoirs ».
C’est ainsi que mercredi, le fabricant de hardware wallet a réitéré cette promesse :
We are 100% focused on following up to last week’s security incident, making sure incidents like this are prevented in the future, and that the ecosystem remains safe.
We are aware of approximately $600k in assets impacted, stolen from users blind signing on EVM DApps.
Ledger…
— Ledger (@Ledger) December 20, 2023
👉 Retrouvez nos conseils pour limiter le risque de hack
Pour un rappel succinct, le hacker était parvenu à introduire du code malveillant dans une librairie JavaScript du Ledger Connect Kit, ce qui lui a permis de drainer les fonds des victimes interagissant avec des applications de finance décentralisée (DeFi).
Ainsi, Ledger s’engage à ce que les victimes récupèrent les sommes volées d’une façon ou d’une autre, d’ici fin février prochain, qu’elles soient clientes ou non de l’entreprise :
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒« Nous nous engageons, par tous les moyens possibles, y compris par des gestes de bonne volonté, à faire en sorte que cela soit fait d’ici la fin février 2024. Nous sommes déjà en contact avec de nombreux utilisateurs concernés et travaillons activement avec eux sur les détails. »
Des signatures en clair généralisées d’ici le mois de juin
L’un des éléments qui auraient pu freiner le drainage des fonds est la signature en clair. Pourtant, la signature à l’aveugle est encore trop répandue dans l’écosystème de la DeFi, ce qui ne permet pas de connaître avec précision les tenants et aboutissants d’une transaction que l’on autorise.
Un tel état de fait facilite alors les incidents de sécurité comme celui-ci. Par exemple, un hacker peut mener une attaque de front-end sur une application décentralisée (DApp) avec plus d'efficacité, de façon à ce que les utilisateurs de celle-ci signent une transaction donnant des droits à un smart contract frauduleux plutôt que celui de ladite DApp.
Avec la signature à l’aveugle, il est plus difficile d’identifier ces tentatives de détournement. C’est pourquoi Ledger annonce que cela ne sera plus possible avec leurs appareils, d’ici juin 2024.
Pour ce faire, l’entreprise invite les développeurs à intégrer sa fonctionnalité « Clear Signing » dans leurs applications :
« La seule contre-mesure infaillible contre ce type d’attaque est de toujours vérifier ce à quoi vous consentez sur votre appareil. Ceci n’est possible qu’avec Clear Signing : ce qui signifie que vous pouvez voir et vérifier exactement ce que vous signez sur un écran sécurisé. Si l’écosystème continue d’autoriser la signature aveugle, les utilisateurs restent en danger. Nous demandons aux développeurs DApp de prendre en charge la brique de sécurité Clear Signing. »
👉 Sur le même sujet — Hack sur Ledger Connect Kit : le PDG Pascal Gauthier apporte des détails
Par ailleurs, l’entreprise appelle les personnes ayant accordé des autorisations à des DApps concernées le 14 décembre à révoquer ces autorisations. Cela peut être fait avec des services tels que Revoke.cash.
De plus, une page d’aide a été créée pour les victimes et Ledger met également en garde contre les tentatives de phishing, rappelant que sur X, ses deux comptes officiels sont @ledger et @ledger_support.
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.