Attention! Votre compte Trust Wallet iOS en danger depuis 2018!

Les utilisateurs de Trust Wallet qui ont créé leurs comptes entre le 5 février et le 21 août 2018 sur des appareils iOS pourraient encore être vulnérables à des exploits, selon la firme de recherche en cybersécurité SECBIT Labs. Cette vulnérabilité ne concerne pas les comptes créés après cette période, ont précisé les chercheurs. Cependant, certains utilisateurs peuvent ignorer l’existence de cette faille et envisager d’utiliser les portefeuilles exposés.

La vulnérabilité a été causée par deux fonctions appelées par le portefeuille Trust dans une bibliothèque Trezor qui étaient censées être utilisées uniquement pour les tests. Malgré des notes de développeurs mettant en garde contre leur utilisation, Trust Wallet a accidentellement inclus ces fonctions dans son application pour iPhone, a affirmé SECBIT. Cette erreur aurait permis à des attaquants de deviner les clés privées de certains utilisateurs et de voler leurs fonds. Selon SECBIT, ces comptes restent vulnérables même maintenant.

Cette vulnérabilité nouvellement révélée est distincte du défaut de l’extension de navigateur de Trust Wallet, que l’équipe Trezor avait déjà reconnu en avril 2023. En réponse aux allégations de SECBIT, Trust Wallet a déclaré, dans un billet de blog daté du 15 février, que la vulnérabilité n’avait affecté que quelques milliers d’utilisateurs, qui ont tous été notifiés et migrés vers de nouveaux portefeuilles. Trust Wallet a affirmé avoir corrigé la vulnérabilité en juillet 2018 et que son application est actuellement sûre à utiliser.

SECBIT découvre une vulnérabilité dans l’application iOS de Trust Wallet

L’équipe de recherche a rencontré cette faille lorsqu’elle enquêtait sur une attaque généralisée contre des portefeuilles cryptographiques survenue le 12 juillet 2023, qui a affecté plus de 200 comptes de crypto-monnaies. Beaucoup des comptes attaqués n’avaient pas été utilisés depuis des mois ou étaient stockés sur des appareils sans accès à Internet, ce qui aurait dû les rendre extrêmement difficiles à pirater. De plus, les victimes utilisaient de nombreuses applications de portefeuille différentes, Trust Wallet et Klever Wallet étant les plus couramment utilisées. Cela a rendu les causes du piratage difficiles à identifier, ce qui a piqué la curiosité des chercheurs.

Ça pourrait vous intéresser :  Bitkraft lance un fonds de jeu de 275 millions de dollars, portant le total des actifs gérés à 1 milliard de dollars

En poursuivant leurs investigations, les chercheurs ont découvert que la plupart des adresses des victimes avaient reçu des fonds pour la première fois entre juillet et août 2018. Leur enquête ayant atteint une impasse peu après cette découverte, ils se sont tournés vers d’autres recherches.

Puis, le 7 août 2023, l’équipe de cybersécurité Distrust a annoncé avoir découvert une vulnérabilité dans l’application Bitcoin (BTC) Libbitcoin Explorer. Surnommée “Milk Sad”, cette faille Libbitcoin permettait aux attaquants de deviner les clés privées des utilisateurs. Après avoir pris connaissance de cette faille présumée, l’équipe SECBIT a commencé à soupçonner qu’une faille similaire pourrait avoir causé l’attaque du 12 juillet.

Les chercheurs ont rouvert l’enquête et ont examiné les versions du code de Trust Wallet publiées entre juillet et août 2018. Ils ont découvert que les versions iOS de l’application utilisaient les fonctions “random32()” et “random_buffer()” de la bibliothèque crypto iOS de Trezor pour générer des phrases mnémoniques.

Ces fonctions comportaient des notes de développeurs mettant en garde contre leur utilisation dans des applications en production. Par exemple, les notes pour random32() indiquaient : “Le code suivant n’est pas censé être utilisé dans un environnement de production. […] Il est uniquement inclus pour rendre la bibliothèque testable. […] Le message ci-dessus essaie d’empêcher toute utilisation accidentelle en dehors de l’environnement de test.”

Après avoir examiné le code, les chercheurs auraient découvert qu’il générait des mots graine qui n’étaient pas suffisamment aléatoires pour empêcher qu’ils soient devinés par un attaquant. Cela signifiait que tout compte Trust Wallet généré sur un appareil iOS pendant cette période était susceptible d’être vidé, a affirmé SECBIT.

Ça pourrait vous intéresser :  "Développeurs, découvrez le secret pour scaler vos apps blockchain!"

Réponse du Trust Wallet

En réponse à ces révélations, un représentant du Trust Wallet a renvoyé à la déclaration publique de l’équipe du 15 février. Dans cette déclaration, l’équipe de développement a souligné que la version actuelle du Trust Wallet ne contient pas la vulnérabilité.

“Nous tenons à assurer aux utilisateurs du Trust Wallet que leurs fonds sont en sécurité et que les portefeuilles sont sûrs à utiliser,” a déclaré le porte-parole. “Bien qu’il y ait eu une vulnérabilité antérieure dans notre code source au début de 2018 affectant seulement quelques milliers d’utilisateurs,” ont-ils poursuivi, “la vulnérabilité a été rapidement corrigée avec le soutien de la communauté de sécurité – et les utilisateurs affectés ont été notifiés et migrés vers des portefeuilles sûrs.”

Trust Wallet a réfuté les affirmations selon lesquelles il n’avait pas suffisamment informé les utilisateurs. “Le fondateur du Trust Wallet a pris des mesures rapides et proactives pour informer tous les utilisateurs concernés et leur fournir un chemin sûr vers la migration,” a déclaré le porte-parole, “s’assurant qu’aucun utilisateur ne restait vulnérable.”

Trust Wallet a également nié que la plupart des piratages visaient les comptes générés par son application. Seules “600 adresses sur les plus de 2 000 piratées” ont été trouvées dans sa base de données utilisateur, ce qui implique que la plupart des victimes n’étaient pas des utilisateurs du Trust Wallet. Parmi ces 600 utilisateurs, certains auraient pu importer leurs adresses depuis une autre application, a prétendu Trust Wallet.

Contrairement à l’affirmation du SECBIT selon laquelle 83% des adresses victimes étaient produites par le code défectueux, Trust Wallet a déclaré que “seul un tiers d’entre elles présentaient la vulnérabilité historique du Trust Wallet en 2018.” Dans son rapport, l’équipe a encouragé les chercheurs en sécurité à utiliser son programme de primes aux bogues et affirmé qu’elle s’engage à maintenir son portefeuille sécurisé.

Ça pourrait vous intéresser :  Qatar investit 500 milliards en Bitcoin ? Incroyable mais vrai !

Dans son rapport, SECBIT a mis en garde les utilisateurs d’iOS avec des comptes Trust Wallet datant de cette période afin qu’ils migrent vers de nouveaux portefeuilles et cessent d’utiliser les anciens. “Il est alarmant que des utilisateurs puissent encore utiliser des portefeuilles créés pendant la période vulnérable,” ont-ils déclaré. “Sans connaissance du problème, ils pourraient subir davantage de pertes financières.”

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *