Selon CryptoPotato, Ledger, un fabricant de portefeuilles matériels, a annoncé son intention de désactiver la signature aveugle pour les applications décentralisées (DApps) de la machine virtuelle Ethereum (EVM) d'ici juin 2024. La décision intervient en réponse à un exploit dans lequel un drain de portefeuille a été ajouté à un bibliothèque utilisée par de nombreux DApp pour se connecter aux appareils Ledger. La société a révélé qu'environ 600 000 $ d'actifs cryptographiques avaient été volés lors du récent exploit et s'est engagée à indemniser les victimes concernées. Ledger a déclaré qu'il mettrait fin à la pratique de signature aveugle avec les appareils Ledger d'ici juin 2024, dans le but d'établir une nouvelle norme pour améliorer la protection des utilisateurs et promouvoir une signature claire dans les applications décentralisées.
Lors du récent exploit de la semaine dernière, les développeurs sur Twitter ont identifié une version malveillante du Ledger Connect Kit, une bibliothèque facilitant la connexion entre les appareils Ledger et les DApps. Selon la société de sécurité Web3 BlockAid, l’attaquant a injecté une charge utile drainant le portefeuille dans le package NPM du Ledger Connect Kit, lui permettant de drainer les fonds des utilisateurs qui se sont connectés à des DApps comme Sushi.com et Hey.xyz. MetaMask, un développeur de portefeuilles logiciels, a averti les utilisateurs de « cesser d'utiliser les DApps » suite à l'annonce de l'attaque. Ledger a confirmé que l'attaque s'est produite parce qu'un ancien employé a été victime d'une attaque de phishing, qui a permis à l'attaquant d'accéder au compte NPMJS de l'ancien employé et de diffuser une version malveillante du Ledger Connect Kit. Ce Connect Kit compromis a redirigé les fonds des utilisateurs de n’importe quel portefeuille se connectant à un DApp l’utilisant vers le portefeuille du pirate informatique. Ledger a réagi rapidement, déployant un correctif dans les 40 minutes suivant l'alerte de ses équipes de sécurité. Une nouvelle version du Connect Kit (1.1.8) a été publiée. L'exploit n'a pas compromis les appareils Ledger et l'application Ledger Live.