Pascal Gauthier, PDG de Ledger, a réagi au piratage du 14 décembre du fournisseur de portefeuilles dans un message publié sur le blog de l'entreprise. Il a déclaré que le piratage de la bibliothèque de connecteurs Javascript de Ledger était un « incident isolé » et a promis de renforcer les contrôles de sécurité.
My personal commitment: Ledger will dedicate as much internal and external resources as possible to help the affected individuals recover their assets.
— Pascal Gauthier @Ledger (@_pgauthier) December 14, 2023
Mon engagement personnel : Ledger consacrera autant de ressources internes et externes que possible pour aider les personnes affectées à récupérer leurs actifs. - Pascal Gauthier @Ledger (@_pgauthier) 14 décembre 2023
Le piratage a fonctionné pendant moins de deux heures et a été désactivé dans les 40 minutes suivant sa découverte. Il était limité aux applications décentralisées tierces (DApps), a déclaré M. Gauthier. Il a été rendu possible après qu'un ancien employé a été victime d'une escroquerie par phishing. L'identité de cet employé aurait été laissée dans le code piraté. Le matériel Ledger et la plateforme Ledger Live n'ont pas été affectés. En outre :
« La pratique standard chez Ledger est qu'aucune personne ne peut déployer un code sans qu'il soit examiné par plusieurs parties. Nous disposons de contrôles d'accès stricts, d'examens internes et de signatures multiples du code pour la plupart des éléments de notre développement. C'est le cas pour 99 % de nos systèmes internes. Tout employé qui quitte l'entreprise voit son accès révoqué pour chaque système Ledger. »
M. Gauthier a ensuite qualifié ce piratage d'« incident isolé et malheureux ». Il a promis qu'en allant de l'avant :
« Ledger mettra en œuvre des contrôles de sécurité plus stricts, en connectant notre pipeline de création qui met en œuvre une sécurité stricte de la chaîne d'approvisionnement des logiciels au canal de distribution du NPM. »
Un piratage de ce type pourrait arriver à d'autres personnes, a ajouté M. Gauthier. Ledger Connect Kit 1.1.8 est sûr et prêt à être utilisé, a-t-il déclaré. M. Gauthier a remercié WalletConnect, Tether, Chainalysis et ZachXBT pour leur aide.
À lire également : Ledger corrige une vulnérabilité après que plusieurs DApps utilisant la bibliothèque de connecteurs aient été compromises
L'ampleur du piratage a d'abord été estimée à 484 000 dollars, mais le service de sécurité Web3 Blockaid a ensuite déclaré à Cointelegraph que la somme était passée à 504 000 dollars à 20 heures UTC. Le piratage pourrait affecter tout utilisateur d'Ethereum Virtual Machine ayant interagi avec les DApps affectées, a ajouté la société.
Here is a list of dapps that may be affected by the @ledger hack! Do not interact at all with DEFI at all today! No app is safe regardless of whether you use a Ledger. pic.twitter.com/2ihbasF3R7
— Ran Neuner (@cryptomanran) December 14, 2023