Subscribe to Bankless or sign in
Les développeurs et les codeurs de crypto-monnaie viennent de recevoir un appel à la vigilance après qu'une nouvelle faille de sécurité a touché Zak Cole de la Fondation communautaire Ethereum. M. Cole, qui travaille dans le secteur de la cryptographie depuis plus de dix ans et dont le dossier OpSec est irréprochable, a vu son portefeuille vidé la semaine dernière après avoir installé ce qui semblait être une extension Solidity légitime dans Cursor, le populaire éditeur de code AI.
Ce qui s'est passé :
- L'extension malveillante, "contractshark.solidity-lang", présentait les bons signaux de confiance. Elle provenait du registre Open VSX et possédait une icône professionnelle, une description claire, plus de 54 000 téléchargements et un nom d'éditeur crédible. Ouf.
- Quelques minutes après son installation, l'extension a lu le fichier
.envde Cole et a envoyé sa clé privée au serveur d'un pirate. Peu après, son portefeuille a été vidé. - Heureusement, les dommages ont été minimes car Cole utilise une séparation stricte des portefeuilles chauds, ses fonds principaux étant défendus dans des portefeuilles matériels. Cependant, des attaques similaires de la chaîne d'approvisionnement ont déjà volé plus de 500 000 dollars à d'autres développeurs !
Ce qui est étrange ici, c'est que ce vecteur contourne entièrement les défenses contre les logiciels malveillants des systèmes d'exploitation. Il s'agit simplement de JavaScript combiné aux autorisations de l'utilisateur. De plus, les fichiers .env sont écrits en clair. Tout ce qui se trouve sur votre machine, des assistants de codage à l'IA aux paquets npm, peut les lire.
Ilest donc temps de fermer les écoutilles. Cole recommande de retirer les clés privées des fichiers .env, de transférer tout ce qui a de la valeur dans des portefeuilles matériels et d'isoler vos environnements de développement. Traitez chaque installation d'extension comme s'il s'agissait d'une faille potentielle.
Enjoying this article?
Subscribe to Bankless or sign in
L'analyse complète du post-mortem de Cole et les fils de discussion qui en découlent valent la peine d'être lus. Ce qu'il faut retenir, c'est que dans un environnement de développement connecté, la confiance est votre surface d'attaque. La paranoïa de Cole l'a sauvé d'un désastre, mais cela aurait pu être bien pire. Construisez votre installation de manière à ce que si vous êtes compromis de la sorte, les dommages soient complètement minimisés.
