Et si je vous disais que l’écosystème d’application décentralisée (DApp) a récemment été en danger en raison d’une vulnérabilité de Ledger ? Le 14 décembre, une série d’événements s’est déroulée mettant en péril la sécurité de l’ensemble de l’écosystème DApp. Un acteur malveillant a découvert et exploité une faille dans la bibliothèque de connexion du portefeuille matériel Ledger, incitant les analystes on-chain et les DApps tels que SushiSwap et MetaMask à avertir les utilisateurs d’éviter toute interaction avec leurs portefeuilles.
Comprendre l’exploit de Ledger
L’attaquant, désormais connu sous le nom de ‘Ledger Hacker’, a réussi à détourner plus de 650 000 $ d’actifs de plusieurs victimes. Cela a été réalisé en manipulant les utilisateurs Web3 pour approuver des transactions de jetons malveillantes. Le pirate a utilisé un exploit de phishing pour compromettre l’ordinateur d’un ancien employé de Ledger, accédant à son compte javascript du gestionnaire de paquets de nœuds. Bien que le montant détourné soit important, il aurait pu être beaucoup plus élevé compte tenu du nombre de portefeuilles et de DApps en danger.
Heureusement, Ledger a réagi rapidement, en publiant un correctif dans les heures suivant la découverte de la vulnérabilité de Ledger dans l’écosystème DApp. Néanmoins, l’incident rappelle vivement les risques potentiels en matière de sécurité dans le monde de la finance décentralisée (DeFi).
Impact sur les DApps utilisant le connecteur de Ledger
Plusieurs applications décentralisées (DApps) utilisant le connecteur de Ledger, dont Zapper, SushiSwap, Phantom, Balancer et Revoke.cash, ont été compromises. Environ trois heures après la découverte de la violation de sécurité, Ledger a signalé que la version malveillante du fichier avait été remplacée par sa version authentique. Ledger conseille désormais aux utilisateurs de toujours ‘Signer clairement’ les transactions et de ne faire confiance qu’aux informations présentées sur l’écran de Ledger. En cas de divergence entre les informations affichées sur l’appareil Ledger et l’écran de l’ordinateur ou du téléphone de l’utilisateur, la transaction doit être immédiatement interrompue.
Autres incidents DeFi récents
Cette vulnérabilité de Ledger n’est pas le seul incident récent dans le secteur DeFi. Le protocole de finance décentralisée Yearn.finance a supplié les traders d’arbitrage de restituer 1,4 million de dollars de fonds après qu’une erreur de script multisignature ait vidé une partie importante du trésor du protocole. De même, l’échange décentralisé (DEX) OKX a subi un piratage de 2,7 millions de dollars après la fuite de la clé privée du propriétaire administratif par procuration.
Malgré ces préoccupations en matière de sécurité, les données de Cointelegraph Markets Pro et TradingView montrent que les 100 premiers tokens DeFi en termes de capitalisation boursière ont connu une semaine haussière, la plupart se négociant dans le vert sur les graphiques hebdomadaires. La valeur totale bloquée dans les protocoles DeFi est restée supérieure à 60 milliards de dollars.
Avec l’évolution constante de l’espace DeFi, il est crucial de rester informé des derniers développements et des vulnérabilités potentielles. Des plateformes comme cryptoview.io peuvent être une ressource précieuse pour suivre vos actifs cryptographiques et rester informé des dernières actualités.
