Plusieurs applications basées sur Ethereum, notamment Zapper, Sushiswap, Phantom, Balancer et Revoke.cash, ont été compromises tôt jeudi en raison d'une faille de sécurité dans Ledger . Ledger, le fabricant de portefeuilles matériels cryptographiques basé à Paris, a déclaré avoir corrigé le code malveillant à 13h35 UTC. La société a également averti les utilisateurs de « signer clairement » les transactions, un moyen de garantir que vous interagissez directement avec le site Web de la société et logiciel.
On ne sait pas encore combien d'applications décentralisées (dapps) ont été/sont concernées, ni combien d'argent a été perdu. Des rapports anecdotiques sur les réseaux sociaux suggèrent que l’exploit est répandu. Blockaid, une société de sécurité blockchain, a déclaré que plus de 150 000 $ en crypto avaient été perdus en raison de cette « attaque de chaîne d'approvisionnement » unique sur le kit Connect de Ledger, qui est déployé dans l'écosystème de la finance décentralisée (DeFi).
Ceci est un extrait de la newsletter The Node, un résumé quotidien des actualités cryptographiques les plus importantes sur CoinDesk et au-delà. Vous pouvez vous inscrire pour recevoir la newsletter complète ici .
"N'interagissez avec AUCUNE dApp jusqu'à nouvel ordre", a écrit Matthew Lilley, directeur de la technologie de SUSHI , sur X/Twitter , ONEune des premières personnes à reconnaître l'attaque. "Il semble qu'un connecteur Web3 couramment utilisé ait été compromis, ce qui permet l'injection de code malveillant affectant de nombreuses dApps."
Les piratages sont monnaie courante dans le domaine de la cryptographie, en particulier dans le monde libre de la finance décentralisée (DeFi), où les logiciels financiers sont fréquemment déployés sans le niveau approprié d'audit et de test, ainsi que utilisés par des personnes sans les connaissances nécessaires pour faire preuve de diligence raisonnable. . Les entités centralisées, c'est-à-dire les entreprises, comme Ledger, sont également des cibles courantes d'attaques.
Ces types de violations sont une tache pour l'industrie, affectant non seulement les personnes et les projets réels, mais également la réputation de la cryptographie. Le pionnier d'Internet et expert en sécurité, Steve Gibson, suit la litanie des piratages cryptographiques sur le podcast populaire "Security Now", qu'il co-anime avec son collègue légende de la technologie Leo Laporte, et a récemment déclaré que toute industrie où il existe un décompte des plus grands les hacks doivent être traités avec un extrême scepticisme.
Pourtant, il y a parfois un côté positif aux exploits cryptographiques. Ces événements, aussi noirs soient-ils, peuvent également être des moments de légèreté et une occasion pour les professionnels chevronnés de la cryptographie de montrer leurs compétences et les avantages inhérents de la blockchain. La plupart des transactions cryptographiques ne peuvent pas être annulées, mais les attaquants peuvent se retrouver dans une impasse en essayant de capitaliser sur leurs gains mal acquis .
Tether, le plus grand émetteur de stablecoins, par exemple, a annoncé avoir gelé l'adresse de l'explorateur quelques heures après le piratage, ce qui témoigne de la capacité des détectives en chaîne àtraquer et à faire pression sur les attaquants.
Alors, est-il trop tôt pour en rire ? La semaine dernière, CoinDesk a inscrit le PDG de Ledger, Pascal Gauthier , et plusieurs des protocoles DeFi concernés sur sa liste annuelle des plus influents – peut-être pouvons-nous rire du timing peu propice. Mais c'est le problème du développement open source qui se produit aux yeux du public : même les pires moments peuvent contenir de précieuses leçons pour tous . Sur les réseaux sociaux, la violation est devenue l’occasion de plaisanter, de condamner et d’apprendre :