Binance Trust Wallet se retrouve sous les projecteurs des régulateurs aux États-Unis, pour une fouille minutieuse. Des agences et des laboratoires de recherche, ont commencé à étudier les contours de l’application, cherchant à mettre le doigt sur une faille qui pourrait bien être la porte dérobée pour des vols de cryptos.
Binance étant une des plateformes d’échange les plus populaires, il est logique que son portefeuille reçoive l’objet d’une attention toute particulière aussi bien par les experts en sécurité que tous les individus mal intentionnés qui cherchent à voler les fonds des utilisateurs.
Les résultats de l’analyse de la National Institute of Standards and Technology (NIST)
Le National Institute of Standards and Technology (NIST), une entité dédiée à la promotion de l’innovation et de la compétitivité industrielle aux États-Unis, a détecté une faille dans la version iOS de Binance Trust Wallet. Il s’agirait d’une histoire de mauvaise manipulation de la bibliothèque trezor-crypto.
Cette dernière a pour but de conserver les mots mnémoniques (phrases secrètes), ces sésames qui ouvrent les portes de ces portefeuilles crypto contenant vos précieux tokens.
Or, le hic, c’est que la manière dont ces mots sont générés ne passe le test de sécurité qu’à un seul endroit : la source d’entropie. Derrière ce terme se cache simplement l’algorithme à partir duquel les données sécurisées font l’objet d’une génération. La source d’entropie, ou l’emplacement physique d’où sont tirées les données, joue un rôle crucial dans la sécurité des systèmes crypto.
Le NIST a identifié que, sans une source d’entropie fiable, la vulnérabilité observée dans l’application pourrait permettre à des attaquants de générer des mots mnémoniques pour chaque horodatage dans un laps de temps donné, facilitant le vol de fonds dans des portefeuilles spécifiques.
Les vulnérabilités identifiées et leurs implications
Les analyses effectuées par le NIST sur Binance Trust Wallet démontrent une bévue de sécurité suffisamment grave pour faire sonner toutes les alarmes. Il s’agit d’une brèche qui, entre de mauvaises mains, pourrait faire des dégâts considérables à Binance et à ses clients.
Selon les rapports fournis, cette même faille avait déjà fait des siennes en juillet 2023, laissant derrière elle une traînée de chiffres rouges et d’utilisateurs frustrés. La révélation publique de cette information le 8 février a lancé un compte à rebours pour l’évaluation complète de la portée réelle de cette vulnérabilité.
L’enquête de Secbit Labs et les découvertes de Milk Sad
Secbit Labs, épaulé par le ministère américain de la sécurité intérieure, s’est lancé sur la piste de cette faille à la suite de rapports de vols d’Ether impliquant de nombreux utilisateurs. Leur chasse au trésor les a ramenés à une vieille faille datant de 2018 et directement liée à un hacking du 12 juillet 2023.
Our vulnerability analysis on Trust Wallet iOS has been reviewed and reproduced by the Libbitcoin 'Milk Sad' vulnerability researcher. Their results also show that over 3400 wallets affected. Their write up is worth reading: https://t.co/5wvghJJ2yZ. Don't confuse this with… https://t.co/WLt3d1jxJj pic.twitter.com/byyKrdgOaq
— p0n1 🦇🔊 (@ErrNil) January 24, 2024
Par ailleurs, une enquête indépendante menée par Milk Sad a identifié au moins 6 572 mnémoniques de portefeuilles uniques présentant un risque de perte de fonds. Aussi, cette découverte alarmante a démontré que Trust Wallet pour iOS, jouait avec le feu en utilisant du code open-source non adapté qui aurait fini par limiter les fonctionnalités protectrices de la bibliothèque trezor-crypto.
Ainsi, face à la gravité de ces vulnérabilités, le NIST s’apprête à coller une étiquette à cette faille, une note qui devrait se situer entre 0 et 10, afin de permettre aux acteurs du secteur de peser sa gravité. Ce jugement ne va pas seulement faire trembler Binance Trust Wallet, mais envoyer des ondes de choc à travers toute l’industrie des crypto-monnaies.
Source : CoinTelegraph
Sur le même sujet :
- Citibank expérimente la tokenisation sur la blockchain Avalanche
- Solana (SOL) s’envole de 15% en une semaine et dépasse le BNB alors qu’un mème coin basé sur sa blockchain cartonne
- Polkadot (DOT) a-t-il le potentiel de dépasser son ATH de 2023 ? Il devra d’abord casser cette résistance cruciale pour y arriver