L'équipe derrière le Ledger a confirmé une vulnérabilité, observée le 14 décembre. Le problème était lié à la bibliothèque Ledger. Dans sa déclaration officielle, l'équipe a déclaré qu'une version malveillante du Ledger Connect Kit avait été identifiée et supprimée. Environ 610 XNUMX $ US pourraient avoir été drainés lors de l'attaque.
« Une version authentique est en cours de téléchargement pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l'évolution de la situation. Votre appareil Ledger et Ledger Live n’ont pas été compromis.
En mettant à jour sa déclaration, l'équipe de Ledger a déclaré que la version malveillante du fichier avait été remplacée par la version originale vers 14h35 CET.
« La nouvelle version authentique devrait être diffusée prochainement. Nous fournirons un rapport complet dès qu’il sera prêt. En attendant, nous aimerions rappeler à la communauté de toujours signer clairement vos transactions – rappelez-vous que les adresses et les informations affichées sur votre écran Ledger sont les seules informations authentiques. S'il y a une différence entre l'écran affiché sur votre appareil Ledger et celui de votre ordinateur/téléphone, arrêtez immédiatement la transaction », a-t-il prévenu.
🚨Nous avons identifié et supprimé une version malveillante du Ledger Connect Kit. 🚨
Une version authentique est désormais proposée pour remplacer le fichier malveillant. N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l'évolution de la situation.
Votre appareil Ledger et…
- Grand livre (@Ledger) 14 décembre 2023
Alerte de sécurité Wallet Ledger : la vulnérabilité affecte les plates-formes DeFi
Matthew Lilley, le CTO de l'échange décentralisé SushiSwap, a fait une annonce critique : avertir les investisseurs d’une grave vulnérabilité en matière de sécurité. Selon Lilley, les utilisateurs devraient éviter d'interagir avec n'importe quelle dApp jusqu'à nouvel ordre. Cette orientation est intervenue après avoir reconnu que la plateforme SushiSwap était menacée par des logiciels malveillants.
La source du problème, comme l'explique Lilley, est liée au GitHub du fournisseur de portefeuille matériel Ledger. Il a souligné la gravité de la situation en déclarant :
«N'interagissez avec AUCUNE dApp jusqu'à nouvel ordre. Un connecteur web3 largement utilisé semble avoir été compromis, permettant l’injection de code malveillant affectant un grand nombre de dApps.
Cette déclaration faisait état d’une attaque à grande échelle, non seulement sur une seule dApp, mais sur plusieurs autres, toutes liées à la bibliothèque Ledger.