Partager cet article
L'exploitation de Ledger a drainé 484 000 $ et bouleversé la DeFi ; un ancien employé lié à un code malveillant
Le PDG de la société de sécurité Blockaid a déclaré à CoinDesk que les utilisateurs étaient toujours en danger.
Faites de nous votre source préférée sur Google
Les pirates informatiquesvolé 484 000 $Jeudi, après avoir inséré du code malveillant dans la bibliothèque Github de Connect Kit, un logiciel blockchain largement utilisé et maintenu par la société de portefeuilles Crypto Ledger. Plusieurs protocoles majeurs de la Finance décentralisée (DeFi) utilisant cette bibliothèque ont été impactés, et les utilisateurs ont été avertis d'éviter toute utilisation d'applications décentralisées (dApps) jusqu'à leur mise à jour.
Le Connect Kit de Ledger est un fragment de code permettant aux protocoles DeFi de se connecter aux portefeuilles matériels de Crypto . L'exploit pourrait impacter le front-end de tous les protocoles utilisant le Connect Kit, notamment SUSHI, Lido, Metamask et Coinbase.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Daybook Americas aujourd. Voir toutes les newsletters
Dans un message publié jeudi sur X concernant l'incident, Ledger a confirmé qu'un employé avait été ciblé par une « attaque de phishing », après quoi l'attaquant « a publié une version malveillante du Ledger Connect Kit ».
Sur le même sujet : L'exploitation de Ledger met en danger la DeFi ; SUSHI recommande de ne pas interagir avec les dApps.
Un porte-parole du grand livre a déclaré à CoinDesk qu'il avait « identifié et supprimé une version malveillante du Ledger Connect Kit », et la société a déclaré dans son message X que « la fenêtre pendant laquelle les fonds ont été drainés était limitée à une période de moins de deux heures ».
FINAL TIMELINE AND UPDATE TO CUSTOMERS:
— Ledger (@Ledger) December 14, 2023
4:49pm CET:
Ledger Connect Kit genuine version 1.1.8 is being propagated now automatically. We recommend waiting 24 hours until using the Ledger Connect Kit again.
The investigation continues, here is the timeline of what we know about…
Bien que Ledger ait mis à jour son propre code, Ido Ben-Natan, PDG de l'entreprise de sécurité blockchain Blockaid, a déclaré à CoinDesk dans un message Telegram que « de nombreux sites web sont encore affectés et que des utilisateurs sont touchés ». Pour que le risque soit totalement atténué, chaque protocole utilisant le kit de connexion de Ledger doit mettre à jour manuellement sa version de la bibliothèque. En attendant, plusieurs protocoles restent menacés, notamment révoquer.cash, qui est un service utilisé pour supprimer les autorisations des protocoles DeFi.
« Revoke.cash est particulièrement concerné ; n'interagissez donc T avec lui », a ajouté Ben-Natan. « Le montant des fonds impactés s'élève à des centaines de milliers de dollars au cours des deux dernières heures. »
Les piratages liés à la DeFi ont été fréquents tout au long de cette année, et303 millions de dollars ont été volés Rien qu'en juillet, suite à des exploits sur Curve Finance et Multichain. Après un piratage, les utilisateurs utilisent généralement des sites web comme revoke.cash pour supprimer les autorisations des protocoles concernés.
Dans ce cas, cependant, comme le front-end des sites Web a été impacté par opposition aux portefeuilles HOT , les utilisateurs de revoke.cash seront invités à connecter leurs portefeuilles à un draineur de jetons malveillant, élargissant ainsi la portée du piratage à tout ce qui se trouve dans le portefeuille d'un utilisateur.
MétaMasqueannoncéqu'il avait déployé un correctif pour supprimer le code malveillant deux heures après le piratage.
La nature de l'exploit souligne la nature fragile des applications décentralisées ; comme les protocoles utilisent le code de plusieurs fournisseurs de logiciels comme Ledger, il existe de nombreux points de défaillance tout au long de la chaîne d'approvisionnement qui peuvent finalement avoir un impact sur les utilisateurs.
Ledger a déjà été victime de problèmes de sécurité. En 2020,l'intégralité de la base de données clients a été divulguée, suscitant des craintes d'échange de cartes SIM et d'attaques par intrusion. Il a également été confronté àcontroverse l'année dernièreaprès qu'une mise à jour logicielle a révélé des divergences entre la sécurité de son matériel et la manière dont il était commercialisé auprès des utilisateurs.
Plus pour vous
KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.
Ce qu'il:
- KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
- This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
- Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
- Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
- Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.
Plus pour vous
BitMine, la plus grande société de trésorerie Ethereum, réalise le plus important achat d’ether de 2026
La société de gestion de trésorerie crypto a ajouté plus de 40 000 ETH la semaine dernière et a désormais mis en staking plus de 2 millions de tokens.
Ce qu'il:
- BitMine a acquis 40 302 ETH la semaine dernière, son plus gros achat de 2026 à ce jour.
- L'achat a suivi l'approbation des actionnaires visant à augmenter le nombre d'actions autorisées de la société.
À la une
