Une faille de sécurité au sein de Ledger crée la panique au sein de la communauté crypto

Une faille au sein de la société crypto Ledger a créé des sueurs froides aux utilisateurs ce jeudi après-midi. Repérée par des experts de la blockchain, elle s'est implantée sur le Ledger Connect Kit, une bibliothèque Javascript permettant de connecter des applications décentralisées à des portefeuilles cryptos. Pour rappel, la finance décentralisée (DeFi) est un système financier ouvert, accessible à n'importe quel utilisateur, qui permet de réaliser certaines opérations de la finance traditionnelle, comme des prêts.

A 14h30, Ledger a indiqué avoir "supprimé une version malveillante" du Ledger Connect Kit, la remplaçant par une version authentique. La société a alerté sur les risques d'escroqueries en lien avec cette faille. Mais le mal semble avoir été déjà fait. Selon l'enquêteur spécialisé sur la blockchain et réputé ZachXBT, plus de 610.000 dollars auraient déjà été dérobés en raison de cette faille dans le code.

Faille pendant 5 heures

Dans un post à 16h49, Ledger a donné des indications sur l'attaque, recommandant de ne pas se connecter pendant 24h00 au Ledger Connect Kit. Dans la matinée, un ancien employé de Ledger a été victime d'une attaque de phishing, permettant à l'attaquant de publier une version malveillante de Ledger Connect Kit.

"Les équipes technologiques et de sécurité de Ledger ont été alertées et un correctif a été déployé dans les 40 minutes suivant la prise de conscience de Ledger. Le fichier malveillant est resté actif pendant environ 5 heures, mais nous pensons que la fenêtre pendant laquelle les fonds ont été drainés a été limitée à une période de moins de deux heures", a indiqué Ledger.

Prudence de mise

Les portefeuilles cryptos (les Ledger) et les Ledger Live (l'interface web qui permet de réaliser de nombreuses opérations) des utilisateurs n'ont pas été compromis, a prévenu la société. L'exploitation était liée aux applications décentralisées qui utilisent le Ledger Connect Kit.

Fondé en 2014, Ledger est spécialisé dans la conception de portefeuilles cryptos dits "non custodial" qui permettent aux utilisateurs d'être maîtres de leurs clés privées (pour les cryptomonnaies) contrairement à des portefeuilles "custodial" (souvent proposés par des plateformes d'échanges centralisées, comme Binance et Coinbase). Ledger assure avoir vendu un total de 6,5 millions de portefeuilles cryptos et servir 100 entreprises clientes. Elle assure sécuriser 20% de tous les actifs en cryptomonnaies et 30% des NFT dans le monde.