Vos cryptomonnaies sont en danger : Supply chain attack du registre NPM

Vos cryptomonnaies peuvent être perdues à tout moment ? Un hack NPM inédit a eu lieu le lundi 8 septembre. Un évènement qui aurait pu bouleverser l’avenir de l’industrie mais qui se finit plutôt de la bonne manière. Faisons le point sur une attaque sophistiquée qui a tout de même occasionné quelques pertes.

Best Wallet : la meilleure solution pour conserver des cryptomonnaies

Tandis que la communauté des développeurs fut confrontée temporairement à un défi avec le hack NPM, cela fait émerger de nouvelles solutions. Best Wallet est idéal dans de telles situations. Une interface intuitive, un haut degré de lisibilité des transactions et une compatibilité avec plus de 60 blockchains.

Avec son jeton natif $BEST , toujours disponible en prévente, Best Wallet dispose d’un vaste écosystèm. On y retrouve de nombreuses fonctionnalités : airdrops, launchpad, staking, swap cross-chain et bien plus encore. Avec plusieurs centaines de milliers d’utilisateurs et un système de sécurité perfomant, Best Wallet est une option de choix pour faire face à des évènements futurs similaires.

Les crypto-actifs représentent un investissement risqué.

Hack NPM : JavaScript pour cibler les utilisateurs cryptos

C’est une attaque d’une ampleur inédite qui a pris place le lundi 8 septembre. Une attaque de type Supply Chain a pris place. En effet, des utilisateurs malveillants ont intégré des malwares dans 18 packages JavaScript, hébergés sur le registre NPM, qui sont communément utilisés dans l’industrie crypto (2 milliards de téléchargements hebdomadaires).

Avec un e-mail de phising, un développeur NPM fut compromis, permettant la publication de versions malveillantes.

Charles Guillemet, CTO de Ledger, a informé très rapidement la communauté de la situation. Le code injecté dans les packages JavaScript permettaient aux attaquants de manipuler des interactions, notamment avec les portefeuilles, par la modification des adresses cibles, redirigeant les fonds à destination des attaquants.

Une initative très ingénieuse, bien que cela fut réglé rapidement avec la suppression des versions malveillantes. Heureusement, cette attaque fut détectée en moins de 5 minutes. Cela aurait pu conduire à la parte de plusieurs dizaines de millions de dollars dans l’industrie. Finalement, moins de 500 dollars de pertes on-chain.

Modification des usages et prise de conscience : le Web 3 n’est pas infaillible

Dans le cadre de cette attaque, ce sont les wallets hébergés en ligne (sur navigateur) qui étaient les plus sensibles, les transactions pouvant être interceptées. Présent sur de nombreuses blockchains, certaines victimes ont toutefois eu lieu. Par exemple, la plateforme Swissborg confirme, avec son partenaire, une perte de 41,5 millions de dollars dans le cadre du programme Earn.

Dans ce contexte, détenir ses actifs sur un hardware wallet était bien plus sécurisé, les fonds hors de portée, tout en surveillant ses transactions. Toutefois, avec un CEX, une seule mauvaise manipulation pouvait rendre l’ensemble des actifs à risque. Dans ce cadre, des recommandations ont été publiées par Vercel.

Ainsi, un tel évènement pourrait réorienter les usages, et faire prendre conscience que le Web 3 n’est pas un havre de paix sans failles techniques. Bien au contraire, la décentralisation et l’open-source peuvent augmenter les probabilités de perdre ses fonds malgré de nombreux entreprises d’audits et une sécurisation pro-active des protocoles.

Les informations présentées dans cet article ne constituent en aucun cas un conseil en investissement. Elles sont fournies à des fins exclusivement informatives. Le marché des crypto-actifs demeure hautement volatil et comporte des risques significatifs de pertes. Il est recommandé aux lecteurs de n’investir que les montants qu’ils peuvent se permettre de perdre, et de procéder à leurs propres recherches avant toute prise de position sur les marchés.

Pour aller plus loin sur le sujet :

• Ethereum plafonne sous 4 500 $ : les sorties ETF grippent la dynamique haussière
• ETF Chainlink (LINK) : Grayscale dépose un dossier auprès de la SEC
• Le Kazakhstan pousse pour une réserve nationale de crypto à l’horizon 2026