Un impact sévère est attendu sur l’écosystème EVM en raison d’une attaque sur Ledger et MetaMask parmi les personnes touchées
Summary:
L’écosystème Ethereum Virtual Machine (EVM) pourrait être gravement touché en raison d’une attaque sur la bibliothèque de connecteurs de Ledger, avertit l’équipe Linea de Consensys. La violation a également affecté MetaMask, un fournisseur de portefeuille, ainsi que plusieurs autres protocoles. MetaMask a depuis publié une mise à jour pour lutter contre le problème. L’attaque a commencé après que le compte NPMJS d’un ancien employé de Ledger a été compromis. Ledger a publié un correctif peu de temps après la détection du problème et recommande de s’abstenir d’utiliser son kit Ledger Connect pendant 24 heures. Le pirate aurait volé près de 484 000 $ d’actifs.
L’équipe Linea de Consensys, qui exploite un rollup à connaissance nulle, a mis en garde contre un impact potentiel significatif sur l’ensemble du paysage des machines virtuelles Ethereum (EVM) en raison d’une attaque sur la bibliothèque de connecteurs de Ledger. Cette bibliothèque, ciblée par le pirate, forme essentiellement un pont permettant aux portefeuilles matériels Ledger d’interagir avec de nombreuses applications décentralisées (DApps). La faille de sécurité a également touché MetaMask, le fournisseur de portefeuille. Linea conseille à tous les utilisateurs du web3 de s’abstenir d’interagir avec les dapps jusqu’à ce que le problème soit entièrement résolu pour des raisons de sécurité.
MetaMask a publié un avis via X, anciennement connu sous le nom de Twitter, indiquant qu’ils ont déployé une mise à jour pour rectifier le problème. Ils ont assuré aux utilisateurs que ceux de la dernière version v2.121.0 seront mis à jour automatiquement et pourront reprendre l’exécution des transactions. Pour les utilisateurs d’anciennes versions, il est recommandé d’actualiser les données de leur site. La liste des autres protocoles concernés comprend Zapper, SushiSwap, Phantom, Balancer et Revoke.cash.
La société de sécurité blockchain Certik a indiqué à Cointelegraph que le code draineur sera exécuté par n’importe quelle DApp qui importe le CDN du registre, demandant aux victimes de se connecter via n’importe quel portefeuille qu’elles prennent en charge. La bibliothèque de connecteurs Ledger représente un élément clé qui assure un lien fonctionnel entre le matériel Ledger et les différentes DApps, de sorte qu’une compromission pourrait impliquer un nombre important d’utilisateurs et de transactions EVM.
L’attaque a suivi l’hameçonnage d’un ancien employé de Ledger, ce qui a entraîné la compromission de son compte NPMJS. « L’assaillant a ensuite propagé une version nuisible du kit Ledger Connect, en utilisant un projet frauduleux WalletConnect pour détourner des fonds vers un portefeuille pirate », a relayé la société sur X. Ledger a lancé un correctif environ 40 minutes après la découverte du problème, en conseillant aux utilisateurs de s’abstenir d’utiliser son kit Ledger Connect pendant 24 heures.
Selon Lookonchain, une plateforme d’analyse blockchain, l’attaquant s’est enfui avec près de 484 000 dollars d’actifs. Ledger mentionne que l’ampleur de la violation de la sécurité pourrait être plus importante. Deux ans après le décès de John McAfee, le magazine rapporte que sa veuve, Janice, est maintenant sans ressources financières et cherche des réponses.
Published At
12/14/2023 7:48:33 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.