Une version malicieuse de ConnectKit, la librairie de Ledger qui permet de connecter son wallet a des dApps, a été publiée ce matin par des attaquants qui ont eu accès à leur repository de packages javascript.
Le code malicieux remplacait le destinataire des transactions pour drainer les wallets (gros résumé)
Le souci a été fixé aujourd’hui à 14h35, mais Ledger recommande de ne pas utiliser d’application basée sur ConnectKit pendant 24h, le temps que la bonne version du code soit propagée partout.
Le wallet physique et Ledger live ne sont pas impactés.
Communication officielle (une plus complète devrait arriver dans les prochains jours) : https://twitter.com/Ledger/status/1735326240658100414
Articles plus détaillés :
- Attaque massive en cours provenant de Ledger – N'utilisez aucune application décentralisée crypto (dApp)
- Ledger dApp supply chain attack steals $600K from crypto wallets
Analyse du code malicieux :