Par 
Suite à une attaque touchant son Connect Kit, Ledger a mis en garde ses clients. « N’interagissez avec aucune DApp pour le moment », a écrit le fabricant de wallets tricolore.
Ce jeudi en début d’après midi, plusieurs applications décentralisées, dont Sushiswap et Revoke Cash, ont signalé sur X que le connecteur Ledger avait été compromis, permettant potentiellement d’injecter du code malveillant et affecter diverses DApps.
Le principal concerné a rapidement publié un message sur le sujet, indiquant qu’il avait procédé à la suppression d’une version malveillante du Connect Kit. Ledger a précisé qu’une « version authentique » était désormais proposée.
N’interagissez avec aucune dApp pour le moment. Nous vous tiendrons informés au fur et à mesure de l’évolution de la situation. Votre appareil Ledger et Ledger Live n’ont pas été compromis », a ajouté l’industriel français.
🚨We have identified and removed a malicious version of the Ledger Connect Kit. 🚨
A genuine version is being pushed to replace the malicious file now. Do not interact with any dApps for the moment. We will keep you informed as the situation evolves.
Your Ledger device and…
— Ledger (@Ledger) December 14, 2023
Les fonds des utilisateurs ne seraient ainsi pas en danger tant qu’ils ne connectent pas leur portefeuille à des applications tierces.
« La version malveillante du fichier a été remplacée par la version authentique vers 14h35 CET. La nouvelle version authentique devrait être propagée prochainement. Nous fournirons un rapport complet dès qu’il sera prêt », a ajouté Ledger au moment de publier cet article.
Mise à jour le 14/12/2023 à 17h52 : Ledger a publié un « message final » sur le sujet :
La version authentique 1.1.8 du Ledger Connect Kit se propage désormais automatiquement. Nous vous recommandons d’attendre 24 heures avant d’utiliser à nouveau le kit Ledger Connect »
La licorne crypto est également revenue plus en détail sur l’attaque, qui a démarré par une attaque de phishing sur un ancien employé de l’entreprise.
D’après Lookonchain, le pirate a réussi à voler plus de 4300 ethers mais son adresse a été gelée par l’émetteur Tether.
