Getting your Trinity Audio player ready...
|
- Le NIST enquête sur une faille potentielle de l'application iOS ‘Binance Trust Wallet', qui pourrait exposer les utilisateurs au vol de fonds par devinette de mots mnémoniques.
- Cette faille a déjà été exploitée, conduisant à plusieurs hack en 2023 avec plus de 4 millions de dollars de pertes pour les utilisateurs de Trust Wallet.
- Malgré l'acquisition de Trust Wallet par Binance en 2018, le portefeuille opère maintenant comme une entité légale séparée et indépendante, sans communication officielle sur cette vulnérabilité.
Les autorités cybernétiques des États-Unis, dont le National Institute of Standards and Technology (NIST), mènent une enquête sur une vulnérabilité potentielle dans l'application iOS “Binance Trust Wallet“. Cette vulnérabilité pourrait permettre aux attaquants de dérober des fonds en devinant les seed phrases, connus sous le nom de mnémoniques.
Détails de la faille et implications
Inscrite le 8 février dans la base de données CVE, qui répertorie les problèmes sérieux susceptibles de causer des dommages matériels ou des pertes, cette faille est actuellement à l'étude par le NIST pour évaluer sa gravité dans le monde réel. La faille a déjà été exploitée, permettant aux attaquants de générer systématiquement des mnémoniques pour chaque timestamp dans une période applicable et de les lier à des adresses de portefeuille spécifiques pour dérober des fonds.
L'application Binance Trust Wallet pour iOS dans le commit 3cd6e8f647fbba8b5d8844fcd144365a086b629f, git tag 0.0.4 utilise mal la bibliothèque trezor-crypto et génère par conséquent des mots mnémoniques pour lesquels l'heure de l'appareil est la seule source d'entropie, conduisant à des pertes économiques, comme exploité en juillet 2023. Un attaquant peut systématiquement générer des mnémoniques pour chaque horodatage dans une période donnée, et les relier à des adresses de portefeuilles spécifiques afin de voler des fonds dans ces portefeuilles.
Agence NIST
Conséquences pour Trust Wallet
Trust Wallet a été victime de multiples incidents cybernétiques en 2023, entraînant des pertes de plus de 4 millions de dollars. Acquis par Binance en 2018, Trust Wallet est maintenant une entité légale séparée qui opère indépendamment de Binance.com, selon un porte-parole de Binance. À ce jour, Trust Wallet n'a pas communiqué sur cette vulnérabilité via son profil X et Binance a depuis lancé son propre portefeuille Web3.