Portefeuille crypto Trust Wallet a divulgué une faille de sécurité qui a entraîné près de 170 000 $ de pertes pour certains utilisateurs. La vulnérabilité a été corrigée, selon la société.
Trust Wallet a découvert le problème grâce à son programme de primes de bogues. Un chercheur en sécurité a signalé une vulnérabilité WebAssembly dans la bibliothèque open source Wallet Core en novembre 2022. Les nouvelles adresses de portefeuille générées « entre le 14 et le 23 novembre 2022 par Browser Extension contiennent cette vulnérabilité », a déclaré la société dans un communiqué, ajoutant que toutes les adresses créés avant et après ces dates sont sûrs.
1/10 Trust Wallet est basé sur la sécurité et la confiance. Nous partageons donc une vulnérabilité affectant les nouvelles adresses créées du 14 au 23 novembre 22 à l’aide de l’extension de navigateur.
Le problème est résolu. La plupart des fonds à risque sont sécurisés. Les utilisateurs concernés doivent prendre les mesures décrites :
➡️https://t.co/X9AEfqWW87– Portefeuille de confiance (@TrustWallet) 22 avril 2023
La violation a entraîné deux exploits qui ont entraîné une perte totale de près de 170 000 $. Environ 500 adresses vulnérables rester, avec un solde de 88 000 $, selon un rapport post-mortem. Les utilisateurs concernés se verront offrir un remboursement et une assistance pour les frais d’essence afin de couvrir les frais de transfert de fonds. Selon Trust Wallet :
« Nous voulons assurer aux utilisateurs que nous rembourserons les pertes éligibles dues aux piratages en raison de la vulnérabilité et avons créé un processus de remboursement pour les utilisateurs concernés. Et nous avons exhorté les utilisateurs concernés [to] déplacer le solde restant d’environ 88 000 USD sur toutes les adresses vulnérables dès que possible. »
Les utilisateurs qui ont subi des mouvements de fonds anormaux fin décembre 2022 et fin mars 2023 peuvent faire partie des personnes affectées par les deux exploits.
La société a exhorté les clients concernés à créer un nouveau portefeuille et à transférer leurs fonds. Les utilisateurs avec des adresses vulnérables seront informés via l’extension de navigateur Trust Wallet, a déclaré la société. Les développeurs qui ont utilisé la bibliothèque Wallet Core en 2022 doivent implémenter la dernière version de Wallet Core. Les adresses de portefeuille concernées de Binance ont été précédemment notifiées via l’échange crypto.
Un autre exploit récemment dévoilé a drainé près de 11 millions de dollars en jetons non fongibles et en crypto-monnaies de diverses adresses sur 11 chaînes de blocs depuis décembre 2022, ciblant les vétérans de la communauté crypto. L’attaque a été initialement attribuée à un exploit dans le portefeuille MetaMask, mais cela a ensuite été démenti par la société.
Magazine: « L’abstraction de compte » suralimente les portefeuilles Ethereum : Guide des nuls