Vulnérabilité majeure chez Trust Wallet : 170 000 dollars de pertes
Trust Wallet dans la panade – Les vulnérabilités et hacks sont malheureusement monnaie courante en informatique et de ce fait dans l’écosystème crypto. Heureusement, dans certains cas les vulnérabilités sont identifiées à temps et corrigées. Le wallet Trust Wallet vient de l’apprendre aux dépens de ses utilisateurs.
Vulnérabilité découverte chez Trust Wallet
Trust Wallet est un portefeuille de cryptomonnaie, notamment soutenu par Binance. Le 22 avril, les équipes de Trust Wallet ont alerté la communauté vis-à-vis d’une vulnérabilité dans le code.
En pratique, cette faille a affecté les adresses de portefeuilles générées via l’extension de navigateur entre le 14 et le 23 novembre 2022.
Le projet a indiqué dans un post qu’il avait résolu le problème dès sa découverte. Cependant, deux hacks ont été détectés. Ces derniers ont entraîné une perte estimée d’environ 170 000 dollars en raison de cette faille.
Détails de la vulnérabilité
Dans les faits, Trust Wallet est développé en WebAssembly, un format de code informatique permettant aux développeurs d’utiliser plusieurs langages de programmation pour créer des applications Web.
Ainsi, la vulnérabilité découverte par un chercheur en novembre 2022 était présente dans la bibliothèque logicielle principale du portefeuille. Celle-ci utilisait le format WASM pour permettre la création de portefeuilles de cryptomonnaies au sein de l’extension de navigateur.
Utilisateurs affectés et remboursements
Heureusement, cette faille n’a pas impacté l’intégralité des utilisateurs. En effet, la vulnérabilité n’avait pas affecté les utilisateurs qui :
- Utilisaient exclusivement l’application mobile Trust Wallet ;
- Importaient des portefeuilles dans l’extension de navigateur en utilisant des phrases mnémoniques provenant d’autres applications de portefeuille ;
- Ont créé de nouvelles adresses de portefeuille via l’extension avant le 14 novembre ou après le 23 novembre 2022.
Suite à cet incident, l’équipe a précisé qu’elle avait renforcé la sécurité du portefeuille. Notamment, en effectuant des audits de sécurité plus fréquents et en faisant appel à des auditeurs externes pour évaluer ses mesures de sécurité.
Trust Wallet a également annoncé qu’il effectuerait des remboursements. Pour cela, les équipes ont mis en place un système d’indemnisation pour les utilisateurs concernés.
« Là où il n’y a pas de sécurité à 100 %, nous assumons nos erreurs et nous améliorons pour prévenir, atténuer et résoudre les problèmes rapidement. »
L’équipe a en outre clarifié que l’incident n’était pas lié à un récent problème de sécurité signalé par Taylor Monahan. Selon elle, plus de 5 000 ETH (10 millions de dollars) avaient été mystérieusement volés dans plusieurs portefeuilles d’utilisateurs.