Les USA enquêtent sur une vulnérabilité du Binance Trust Wallet
Trust Wallet. La plateforme Binance est sous le feu des attaques réglementaires depuis de nombreux mois. Car il ne fait pas bon être le leader incontesté du secteur crypto. Surtout lorsque cette économie numérique se fait rattraper par la finance traditionnelle. Un jeu du chat et de la souris qui a obligé son emblématique fondateur, Changpeng Zhao (CZ), à démissionner de son poste à la fin de l’année dernière. Un contexte compliqué, surtout en relation aux régulateurs des États-Unis. Et la récente enquête menée par le National Institute of Standards and Technology (NIST) au sujet d’une vulnérabilité de l’application iOS Binance Trust Wallet ne va pas faciliter les choses…
Bug dans l’application iOS Binance Trust Wallet ?
Alors que la plateforme Binance poursuit sa mutation réglementaire, toutes les institutions de surveillance américaines semblent s’être données rendez-vous dans ce dossier. En effet, le chantier est ouvert de toutes parts afin de lui donner un aspect plus financièrement correct.
Une dynamique au sein de laquelle une récente prime de ménage interne de 5 millions de dollars vient d’être proposée. Cela afin de rémunérer le chasseur de taupe qui saura identifier les responsables de fuites dans le carde des nouveaux listings de cryptomonnaies.
En parallèle de toute cette agitation, une agence du ministère du Commerce des États-Unis semble s’intéresser de près à l’application Binance Trust Wallet, dans sa version iOS. En cause, une vulnérabilité détectée dans son utilisation – jugée mauvaise – de la bibliothèque trezor-crypto.
Cette procédure, rendue publique le 8 février dernier, est toutefois en attente d’analyse. Cela afin d’en déterminer la portée effective et réelle.
Un problème de mnémonique
L’enquête émane du National Institute of Standards and Technology (NIST) des États-Unis. Une agence gouvernementale en charge de promouvoir l’innovation et la compétitivité industrielle aux États-Unis. Cela passerait-il par le fait de mettre (encore plus) des bâtons dans les roues de Binance ?
« L’application Binance Trust Wallet pour iOS (…) utilise à mauvais escient la bibliothèque trezor-crypto. Elle génère par conséquent des mots mnémoniques pour lesquels l’heure de l’appareil est la seule source d’entropie [emplacement physique à partir duquel les données sont générées], entraînant des pertes économiques, comme exploité en juillet 2023. Un attaquant peut systématiquement générer des mnémoniques pour chaque horodatage dans un délai applicable et les lier à des adresses de portefeuille spécifiques afin de voler des fonds dans ces portefeuilles. »
National Institute of Standards and Technology (NIST)
En effet, il est question d’une vulnérabilité détectée dans la version 2018 de son application Binance Trust Wallet. Plus spécifiquement pour les appareils iOS. Une faille qui aurait déjà été utilisée en juillet de l’année dernière afin de voler des ETH sur certains portefeuilles.
Cette affaire a comme point de départ un avertissement émis par la structure de cybersécurité Secbits Labs, daté du 19 janvier dernier. Ce dernier récemment repris par le CVE : un programme parrainé par le département américain de la Sécurité intérieure. Le tout apparemment confirmé par une autre étude indépendante, de la structure Milk Sad. Avec, cette fois, en cause plus de 6572 mnémoniques de portefeuille uniques à risque.
L’enquête en cours, menée par le NIST, devrait prochainement livrer ses conclusions sur le Binance Trust Wallet. Cela sous la forme d’une note – entre 0 et 10 – attribuée à ce portefeuille en fonction de la gravité des failles détectées. Un nouveau coup dur pour le leader des exchanges, dont l’ex-patron, CZ, reste toujours bloqué aux États-Unis dans l’attente de son procès. Deux affaires à suivre…