La semaine dernière, j'ai vu Grand livre , le plus grand fabricant de portefeuilles matériels cryptographiques au monde, victime d'une attaque ciblée attaque de grande envergure contre la chaîne d'approvisionnement qui a piraté des centaines de milliers de dollars en crypto-monnaies dans les portefeuilles des utilisateurs.
Cependant, les experts estiment que le piratage aurait pu être véritablement catastrophique s'il était resté indétecté plus longtemps, et il aurait pu siphonner des dizaines de millions de dollars de fonds d'utilisateurs et contaminé l'ensemble du Écosystème DeFi dans le processus. La popularité de Ledger en tant que portefeuille froid et ses 1,5 million de clients autodéclarés en a fait une cible facile pour le pirate informatique, et lui et d'autres portefeuilles froids au format USB comme Trezor sont souvent dans le réticule des mauvais acteurs Pour cette raison, il est alarmant de constater que la faille a d'abord été repérée par une société tierce, et non par Ledger, ce qui laisse entrevoir une faille potentiellement grave dans la surveillance de la sécurité de Ledger.
Le dernier incident du fabricant de portefeuilles français survient après des erreurs précédentes telles que Piratage de base de données par phishing en 2021 et Service de récupération des semences 2023 Controverse. Cette fois, il s'agissait de la compromission de la bibliothèque JavaScript Connect Kit de Ledger, largement utilisée, entraînant le vol d'environ 700 000 dollars d'actifs numériques provenant de portefeuilles connectés à des services via Connect Kit.
Le vecteur d'attaque sournois du piratage et sa capacité à anéantir l'ensemble de l'industrie DeFi offrent plusieurs considérations de sécurité sérieuses pour tous les utilisateurs de crypto et les fournisseurs de services, dont nous discuterons plus loin dans cet article.
Comment s'est produite l'attaque de la chaîne d'approvisionnement Ledger
Le piratage du Ledger Connect Kit était une nouvelle itération d'une « attaque de la chaîne d'approvisionnement » classique, qui a gagné en notoriété avec le Piratage de SolarWinds . De telles attaques compromettent les logiciels d'infrastructure en coulisses et pourraient avoir causé des dommages importants aux utilisateurs de cryptomonnaies.
- Un attaquant a hameçonné le compte d'un ancien employé de Ledger pour accéder au logiciel Connect Kit de Ledger.
- Ils ont ensuite injecté un code malveillant « draineur » dans le composant logiciel de Ledger, conçu pour siphonner les actifs numériques des portefeuilles connectés via le Connect Kit.
- Le code redirigeait les fonds des utilisateurs vers le propre portefeuille du pirate lors des transactions avec des dapps qui interagissaient avec le logiciel infecté.
- Le code malveillant a volé des cryptomonnaies à partir de portefeuilles connectés à des services via Connect Kit pendant quelques heures avant d'être corrigé.
- Avant que le problème ne soit corrigé, l'ensemble de l'écosystème Web3 était en danger. Le fichier compromis n'était actif que pendant cinq heures, pendant lesquelles il drainait activement des fonds pendant deux heures.
D'autres fabricants de portefeuilles comme CoolWallet ont rapidement alerté les utilisateurs de DeFi de la crise, son directeur technique Wesley Wen avertissant les utilisateurs de ne pas se connecter à des dApps en raison du logiciel compromis.
Impact sur les protocoles de finance décentralisée (DeFi)
L'impact de la vulnérabilité s'est étendu au-delà de Ledger, affectant d'autres protocoles de la finance décentralisée (DeFi), tels que SushiSwap, Kyber, Revoke.cash et Zapper. Kyber et Revoke.cash ont immédiatement réagi en désactivant leurs interfaces respectives afin d'empêcher toute nouvelle exploitation.
Matthew Lilley, directeur technique de Sushi Swap, a averti les utilisateurs de Dapp de ne pas interagir avec les applications jusqu'à ce que la situation soit résolue.
Piratage de Ledger : leçons de sécurité cryptographique à retenir pour l'industrie et les utilisateurs
Comme David Schwed explique dans Fortune que ce qui est particulièrement alarmant dans cet incident, c'est que les dommages causés aux utilisateurs de cryptomonnaies n'ont pas été aussi catastrophiques qu'ils auraient pu l'être, mais que les conséquences pour Ledger ont été graves. L'entreprise, réputée pour sa sécurité renforcée, a dû faire face à une crise qui aurait pu être évitée. Pour éviter de telles défaillances de processus internes, les projets cryptographiques doivent réorienter leurs normes de sécurité vers des analyses de sécurité plus rigoureuses et des pratiques exemplaires.
Gestion appropriée du code
La racine du problème réside dans les défaillances des processus et les lacunes dans les pratiques de sécurité, des problèmes malheureusement fréquents dans le monde des cryptomonnaies et de la blockchain. De nombreux projets dans ce domaine disposent de mesures de sécurité immatures ou sous-financées, se concentrant trop étroitement sur la recherche de vulnérabilités du code. Cependant, le piratage de Ledger ne concernait pas une faille dans le code lui-même ; il concernait la manière dont celui-ci était géré et mis à jour.
Contrôle d'accès des employés
La faille initiale résultait d'une attaque d'hameçonnage ciblant les comptes d'un ancien employé de Ledger. Cela soulève des questions quant à la nécessité d'améliorer la formation et les pratiques anti-hameçonnage. Plus inquiétant encore, l'ancien employé avait toujours accès au code de Ledger via un service tiers. Il s'agit d'une lacune flagrante en matière de contrôle d'accès.
Mais la défaillance la plus critique résidait dans la mise à jour automatique du code du kit de connexion à partir d'une base de données active, sans aucune vérification humaine. Cette pratique créait une vulnérabilité importante, car aucun contrôle ne garantissait que les modifications étaient légitimes et non malveillantes.
Audit holistique
Cet incident a mis en évidence les limites des audits de sécurité qui se concentrent uniquement sur le code, au lieu de couvrir tous les aspects. Une approche plus globale est nécessaire, évaluant l'ensemble du cycle de développement. Cela inclut les mesures de sécurité internes, la prévention du phishing et les processus de gestion du changement.
Responsabilité de l'utilisateur
Comme dans tout secteur, le client détermine en fin de compte le niveau de qualité qu'il est prêt à accepter en votant lors de ses achats. Les utilisateurs de cryptomonnaies peuvent inciter les créateurs de portefeuilles à rester vigilants en choisissant des fournisseurs réputés, bénéficiant d'une excellente réputation et des meilleures normes du secteur. Cela implique la mise en œuvre de méthodes d'authentification robustes, la mise à jour régulière des logiciels et micrologiciels, et le respect des bonnes pratiques de stockage et de restauration des sauvegardes.
Conclusion
Le piratage de Ledger devrait servir d'avertissement à l'ensemble du secteur des cryptomonnaies. Il démontre que les cryptomonnaies ne sont pas intrinsèquement vulnérables, mais qu'il est urgent de mettre en place des pratiques de sécurité plus rigoureuses et standardisées.
En tirant les leçons de cet incident et en mettant en œuvre les meilleures pratiques, les utilisateurs de portefeuilles cryptographiques peuvent mieux protéger leurs actifs numériques et éviter des failles de sécurité similaires à l’avenir.
À mesure que le secteur gagne en maturité, les entreprises qui investissent dans des mesures de sécurité robustes se démarqueront par leur fiabilité et leur longévité. Celles qui ne le font pas risquent d'être laissées pour compte en raison de défaillances évitables.
Les utilisateurs de cryptomonnaies souhaitant diversifier leurs risques devraient se tourner vers CoolWallet Pro, un portefeuille matériel pionnier et éprouvé, dont la réputation n'est plus à faire, et qui existe depuis aussi longtemps que Ledger (2014). Son créateur, CoolBitX, fêtera ses 10 ans sans tache l'année prochaine.
Avec un élément sécurisé EAL6+, des vérifications biométriques, un Bluetooth crypté de qualité militaire et une conception ultra-fine, inviolable et étanche, ce portefeuille matériel d'élite et pratique vous permet d'accéder à Web3 et à vos actifs numériques n'importe où, n'importe quand, avec une discrétion absolue.
Apprenez-en plus sur CoolWallet Pro (pour les utilisateurs expérimentés de DeFi), CoolWallet S (pour les HODLers) et son application CoolWallet, qui comprend SafeScan , un scanner intégré de transactions Web3 et d'applications décentralisées en temps réel pour détecter et contrecarrer les menaces de phishing, via les liens ci-dessous :
CoolWallet Pro : https://44f03c-3.myshopify.com/products/coolwallet-pro-1
Portefeuille CoolWallet S : https://44f03c-3.myshopify.com/products/coolwallet-s
Application CoolWallet : https://44f03c-3.myshopify.com/pages/coolwallet-app
Partager:
CoolWallet s'associe à P2P.org pour révolutionner le jalonnement des DOT Polkadot
CoolWallet dévoile sa feuille de route pour 2024 à la Taipei Blockchain Week