Reprise du message précédent :
Mais quelqu'un a le fin mot de l'affaire, techniquement la faille se situe où ?

D'ou l'intérêt de diversifier une petite partie de son bag    
Sur les 10 top performer sur 24h, j'en ai 6    
Ca permet de ne pas fomo    
 

 
faille du connect kit de Ledger. Du coup ceux qui utilisent les dApps avaient un risque de se faire siphonner.
https://twitter.com/Ledger/status/1735291427100455293
 
Edit: A priori une mise à jour a résolu le problème.

Ok mais c'est quoi ce connect kit ? Qui l'utilise ?

Tout le monde dès que tu utilises une dApp avec un Ledger.

La chart SOL/ETH    
 

 
En général ceux qui font de la DeFi avec leur ledger.
C'est le kit qui sert à se connecter aux différentes plateformes.

 
Bon je suis largué là techniquement. Pourtant je croyais avoir capté tout ça
 
Pour moi une dApp c'est juste une application qui est liée à la blockchain. Donc tu vas sur un site qui fait de la DeFi, c'est une dApp. Quand tu la "connectes" à ton hotwallet (lui même relié au ledger), pour moi il se passe rien, simplement tu lui files ta clé publique pour qu'elle retrouve tes infos. C'est peut être là que je me trompe.
 
Ensuite si tu fais un transaction, avec un smart contract à priori, ben c'est juste une transaction que ton ledger va signer basta.
 
Alors le kit là, et la faille, ça me dépasse. Je capte même pas où ça tourne, sur mon pc ?

 
Une de leur lib Node.js a été compromise.
 
Mais le plus savoureux ( comme toujours, avec ces bras cassés de chez Ledger ), c'est que la lib a été piratée via le compte d'un de leurs anciens employés.
 
Les mecs ont juste oublié de révoquer ses accès une fois que le gars est parti

Ouais, c'est le bordel tout ça!
De ce que j'ai compris, pour l'utilisateur ça faisait un peu comme les hacks d'UI (mais à un autre niveau) = ça te mettait un pop up t'invitant à signer une autorisation frauduleuse qui vidait ton wallet. Tu validais un transfert déguisé.
Simplement là, c'était les dApps qui appelaient un kit pour connecter ton Ledger, mais ce kit a été piraté et modifié.
Faut pas psychoter, ton Ledger assurait toujours la sécurité de tes cryptos -mais pas des signatures frauduleuses. Donc faut pas le jeter, au contraire.

Total: sans valider la transaction, il n'y avait aucun risque. Donc faut toujours faire gaffe à ce qu'on signe -ça c'est pas nouveau, mais à peu près personne ne vérifie le détail à chaque transaction (me too).

Par contre, oui pour ce que dit Anvil, "oubli" de révoquer les autorisations d'un ex employé = au secours!!!
Mais des dev disent que c'est sans doute assez courant, dans beaucoup de boites. (Gargle!)

Ah ok merci c'est un peu plus clair. Effectivement si on te fait signer une saloperie... J'imagine donc que la lib en question tourne sur son pc, c'est simplement du js inclus dans l'application, sauf qu'ils se sont fait hacker le truc.  
 
Effectivement, c'est tout de même du propre côté ledger

Ca ne m'étonnerai pas plus que ça oui, en tant que dev, il y a tellement d'accès a des dizaines d'outils de partout, quand tu as des salariés qui en ont aussi besoin, ça devient un vrai merdier à gérer. Soit tout le monde utilise le même et c'est la merde, soit tu en crées... mais faut les révoquer, ce qui n'est pas forcément fait de manière systématique.

Même principe pour le pull automatique de la dernière version... si tu ne le fais pas tu te fais taper dessus car du coup c'est dépendant d'un tier qui doit mettre à jour (mais on tape sur le créateur en général), du coup ça peut poser des soucis... et dans un autre temps, dans ce cas précis ça a permis de propager vite fait la saloperie partout...

Après, techniquement, il n'y a aucune faille au niveau ledger lui même, le contrat reste respecté si on fait attention à ce qu'on signe.

Voilà c'est ça.
Le Ledger en lui même est toujours aussi safe.

En gros la société Ledger propose une librairie de code en libre accès sur le net. Les différents sites Web3 peuvent appeler cette librairie pour gérer la pop-in de connexion au wallet.
Les pirates ont été malins. Plutôt que de hacker directement le Ledger ( ce qui est très compliqué voire impossible), ils ont piraté le serveur de chez Ledger pour changer le code de la librairie (ce qui est bien plus facile). Tous les sites utilisant cette librairie se retrouvent alors avec le code malicieux.

Du coup, tu est sur ton site Web3 officiel. Tu crois connecter ton wallet sur ce site mais en fait la pop-in appartient aux pirates et tu connecte ton wallet chez eux.

Rien à craindre du moment que tu ne t'es jamais connecté avec une de ces pop-in vérolées.
Par contre, si tu te connecte et que tu signes quelque chose, les pirates peuvent prendre le contrôle de tes fonds.

edit:burn

Le problème est de savoir ce qu'il faut vérifier, avant de signer. Pas si évident je trouve.
Ca serait bien qu'il y ait des tutos accessibles sur ce genre de choses, basiques mais déjà un peu plus avancées que le minimum. DefiFrance semble en voie de s'intéresser à ça. J'attends avec impatience.

Un exemple: les alertes de RabbyWallet, c'est très bien; mais t'as des alertes systématiquement par ex sur les autorisations pour un simple swap, j'ai mis un moment à plus stresser qu'on me mette un red flag à chaque fois!

Edit: yes Cheinz & Gimme, c'est fascinant la variété de modes d'attaque, sûrement évident pour un informaticien, mais pour les commun people, on en découvre à chaque hack! Là c'était super rusé!

Je suis bien d'accord avec toi, la review avant de signer est bien trop complexe à comprendre pour la quasi totalité des gens et les alertes sont trop vagues.
Il faut continuer à développer ces systèmes de review et d'alertes pour les rendre compréhensibles par tout le monde.

Après au final pour ce hack, on reprends un principe connu et déjà largement utilisé en dehors de la crypto.
Ce genre d'arnaque a beaucoup lieu dans le secteur bancaire par exemple et notamment sur les DAB où les escrocs vont mettre un lecteur de carte et un faux clavier. Vous pensez taper votre code sur le DAB de la banque mais en fait vous êtes sur le matériel de l'escroc.

Ca existe aussi sur le web avec les sites qui se font passer pour votre banque et vous demandent d'entrer vos identifiants par exemple.

Votre ledger, CB, coffre fort,... peut être le plus sécurisé du monde mais si quelqu'un arrive à vous subtiliser la clé vous êtes foutu.

J'en mets un autre pour la route, si des fois ça peut éviter à qq'un une perte de cryptos:
-au début, pour un transfert un peu important, je vérifiais l'adresse d'envoi, mais seulement les 1ers et derniers caractères de l'adresse;
-avant d'apprendre qu'un hacker peut créer une adresse quasi identique et surtout **avec le même début et même fin** -j'en étais baba! (juste au milieu, ce sera pas pareil, donc beaucoup moins visible si on compare pas chaque caractère de l'adresse d'envoi).
-au cas où, pour les montants importants, je fais aussi une photo de l'adresse et je la vérifie sur le Ledger, des fois qu'on me change l'adresse d'envoi à la volée, dans le presse-papier.

Bref, faut être parano... mais ça suffit même pas, parfois

Pour ce hack, utiliser rabby (ou un équivalent qui signale les transactions suspectes) aussi permettait de ne pas se faire siphonner car il alertait de la dangerosité de la transaction. Perso sur Rabby, je ne fais pas attention aux alertes jaunes car c'est généralement que c'est une adresse inconnue ou un protocole pas listé par grand monde, mais les rouges en général je vérifie bien pourquoi c'est comme ça.

Hello,
 
Je demande à tout hasard si parmi vous certains ont déjà créé un excel pour exploiter l'historique de ses trades binance depuis l'export csv que permet le site.
Je peux me refaire des formules à la main mais si vous avez déjà sous le coude qq chose je ne suis pas contre
en vrac j'aimerai calculer les PRU de mes paires, l'évolution du nombre de token de chaque dans le temps, la valorisation des sessions en fiat sur une année, etc...
 

 

Heureusement qu'il y a des hack. Par ce que sans ça on se ferait bien CHIER !

 
il y a aussi le "interacted before" qui est important avec Rabby

Il me reste quelques kUSDC à placer Olivie. Je les mets sur quoi ? Je veux faire x20.

Phishing d'un employé Ledger qui avait des droits d'accès à un repository sur lesquelle un code malicieux a été injecté. 40min après la découverte de la faille, le code était corrigé et l'accès sécurisé par Ledger et WalletConnect (l'API en question).

Toute la chaine a très bien géré l'alerte je trouve. La faille était exploitable même pas 2 heures, le process était tellement louche que très peu d'utilisateurs sont tombés dans le panneau du faux pop-up de connexion, le total détourné est seulement de 600k USDT ... qui ont été bloqué par Tether. Donc 0 gain pour les hackers  

Si je savais comment faire x20, je serais pas sur le forum.
Sans doute en overdose de putes et coke  

Hello,
 
Je cherche à savoir quel smart contract / quelle dApp a été utilisée pour faire ce swap:
https://gnosisscan.io/tx/0x8ae2996f [...] 960352b2de
 
Une idée ?

ETH et rendez-vous dans 10 ans.

 
1inch
 
https://debank.com/profile/0xad3b67 [...] 94F54A968f
 
si tu ne connais pas déjà je te conseille Metadock qui rajoute pas mal d'infos sur les explorers
https://chromewebstore.google.com/d [...] iepkpcgcoo

Je ne connaissais pas Metadock. Merci beaucoup  

Pour comprendre le hack ledger un peu plus clair
https://www.youtube.com/watch?v=XMEBbGFO4xI&t=213s
 
Champions les gars, que ce soit possible de modifier le code dans leur repo, c'est du grand art  

Bon résumé.  
Je me dis juste que c'est dommage de pas montrer "en live" le hack avec un wallet dédié (donc petit montant qui sera perdu). On verrait ce qu'indique Rabby à ce moment, à quoi on aurait pu voir qu'il y a un problème, etc... Ca serait plus pédagogique.  
 
On pourrait collecter en FP une base de sécurité, non? Au moins ce qui est essentiel.

 
Notre rêve à tous

 
Le problème est réglé au fait ? on peut interragir avec les Dapps ?

A priori oui. Vérifie quand même ta version (cf lien https://cdn.jsdelivr.net/npm/@ledgerhq/connect-kit@1 dans le msg d'Olivie).  
Vais aller collecter de ce pas!

Las! <42k c'est la misère... Adieu veaux vaches cochons putes coke yacht/maison de campagne  
Enfin, on a échappé au hack du jour, on est content quand même!

 
Faut se projeter dans un an, quand tout aura fait x10 et qu'on se demandera quel prochain scam sera l'eldorado pour les early adopters, qu'on fera des transactions à 1k$  

Me parle pas de scam, j'ai vu passer le cours du Bonk: mais que je suis con de pas prendre des shitcoins!! Suis dégouté! Y'a des choses qu'on devrait pas voir...

Faut pas réfléchir comme ca avec les shitcoins.
Le bonk je l'ai vu passer depuis plusieurs semaines. Mais j'en ai vu plus d'une centaines d'autres également. Si je devais mettre des sous sur tous les memecoins que j'ai vu, même en faisant x100 avec le Bonk je serais largement perdant  

Pour ceux qui veulent tester, suffit juste d'entrer son adresse (ETH) pour voir si vous avez droit à des airdrops  
 

Tiens merci, j'étais aussi éligible pour Connext sans le savoir. 300$ !

Pour faire x20 faut déjà être capable de x2 ou x3 sans vendre.

No airdrops to claim

+1

 
Merci pour l'extension, ça peut être utile .