Share this article
BTC
$85,401.93
+
2.41%ETH
$1,645.75
+
5.30%USDT
$0.9998
+
0.03%XRP
$2.1707
+
7.08%BNB
$597.03
+
2.01%SOL
$132.95
+
9.66%USDC
$0.9999
+
0.00%DOGE
$0.1680
+
5.35%ADA
$0.6617
+
6.22%TRX
$0.2459
+
0.97%LINK
$13.19
+
4.56%LEO
$9.3394
+
0.31%AVAX
$20.53
+
7.61%SUI
$2.3510
+
7.62%XLM
$0.2476
+
5.89%HBAR
$0.1766
+
5.40%SHIB
$0.0₄1257
+
3.45%TON
$2.9906
+
4.25%BCH
$344.17
+
10.01%OM
$6.2828
-
2.22%S'inscrire
- Retour au menu
- Retour au menuTarifs
- Retour au menuRecherche
- Retour au menuConsensus
- Retour au menu
- Retour au menu
- Retour au menu
- Retour au menuWebinaires et Événements
MetaMask, Phantom et d'autres portefeuilles de navigateur corrigent une vulnérabilité de sécurité
Il n'existe aucune preuve que la vulnérabilité ait été exploitée par des attaquants, ce qui signifie qu'aucun fonds d'utilisateur n'aurait été impacté.
MetaMask et Phantom, deux des plus grands fournisseurs de portefeuilles Crypto , ont révélé dans des articles de blog mercredi qu'ils avaient récemment corrigé une vulnérabilité de sécurité qui aurait pu exposer des informations de connexion sensibles aux utilisateurs disposant d'appareils compromis.
Les fournisseurs de portefeuilles affirment qu'il n'y a aucune preuve que la vulnérabilité ait été exploitée par des attaquants, ce qui signifie qu'aucun fonds d'utilisateur n'est connu pour avoir été affecté.
STORY CONTINUES BELOW
MetaMask et Phantom – qui ont découvert le bug sur la base d'un tuyau d'une société de sécurité blockchainHalborn – a informé au moins dix autres portefeuilles HOT basés sur navigateur qu'ils contenaient la même vulnérabilité. La liste complète des portefeuilles impactés – et corrigés – n'est pas encore connue.
Bien que la vulnérabilité soit associée à un vecteur d'attaque étroit et qu'il n'y ait aucune preuve qu'elle ait jamais été exploitée par des pirates, elle met en évidence le risque de sécurité inhérent aux portefeuilles HOT connectés à Internet par rapport aux portefeuilles matériels plus sécurisés, bien que moins pratiques.
Devez-vous vous inquiéter ?
MetaMask et Phantom ne recommandent pas à la plupart des utilisateurs de prendre d'autres mesures que de mettre à jour leurs navigateurs afin de garantir que les portefeuilles qu'ils utilisent exécutent les versions logicielles les plus récentes.
Selon le billet de blog deMétaMasquevous ne devriez vous inquiéter que si vous remplissez toutes les conditions suivantes :
- Votre disque dur n'a pas été chiffré
- Vous avez importé votre phrase de récupération Secret dans une extension MetaMask sur un appareil qui est en possession d'une personne en qui vous n'avez pas confiance, ou votre ordinateur est compromis
- Vous avez utilisé la case à cocher « Afficher la phrase de récupération Secret » pour afficher votre phrase de récupération Secret à l'écran pendant ce processus d'importation.
« Si votre ordinateur n'est pas physiquement protégé contre les personnes en qui vous n'avez pas confiance, nous vous recommandons d'activer le chiffrement intégral du disque dur », selon l'article de blog MetaMask. « De plus, cela ne vous concerne pas si vos fonds sont gérés par un portefeuille matériel. »
Le billet de blog de Phantom fait largement écho à celui de MetaMask.
Dans son article de blog, MetaMask décrit les étapes que les utilisateurs doivent suivre pour passer à un nouveau portefeuille s'ils pensent que leurs informations d'identification pourraient avoir été compromises.
Halborn, qui a reçu une prime de 50 000 $ pour avoir révélé le bug, a recommandé à la plupart des utilisateurs de passer à une nouvelle adresse de portefeuille par excès de prudence.
Steve Walbroehl, cofondateur de Halborn, a déclaré à CoinDesk: « Étant donné que ce système existe depuis si longtemps, on ne sait T qui a pu être victime d'une telle attaque. Vous avez peut-être cliqué sur un e-mail d'hameçonnage malveillant et quelqu'un a pu accéder à votre machine. Peut-être que quelqu'un l'a déjà volée, même si vous avez maintenant effectué une mise à niveau. Je pense simplement que, par prudence, compte tenu de sa criticité, il est préférable de le modifier. »
Il a poursuivi : « Ma ONE recommandation est simplement d’obtenir un portefeuille matériel. »
Comment c'est arrivé
La vulnérabilité résultait d'une bizarrerie dans le langage de programmation JavaScript qui conduisait parfois à ce que la phrase de récupération Secret d'un utilisateur soit stockée dans la mémoire locale de l'utilisateur pendant un certain temps (la durée exacte est inconnue et varie probablement selon l'appareil).
Si un utilisateur avait saisi cette phrase sur un appareil compromis ou non fiable, un attaquant aurait pu la récupérer dans la mémoire s'il savait exactement où chercher (ou, plus probablement, s'il disposait d'un outil spécialisé pour cette tâche).
Une phrase de récupération Secret – également appelée phrase de départ ou phrase mnémotechnique – est une série de 12 mots que les utilisateurs reçoivent lorsqu'ils configurent un portefeuille intelligent, et elle sert de clé principale si les utilisateurs ont besoin de récupérer leur portefeuille ou de le configurer sur un nouvel appareil.
Si la phrase de récupération Secret d'une personne tombe entre les mains d'une personne malveillante, elle pourrait être utilisée pour prendre le contrôle total des fonds de la personne.
MetaMask a été informé du bug en juillet 2021 et a publié un correctif en mars de cette année. Phantom a été informé du bug en septembre 2021 et a publié plusieurs correctifs pour le corriger entre janvier et avril 2022.
Sam Kessler
Sam est rédacteur en chef adjoint de CoinDesk pour la technologie et les protocoles. Ses reportages portent sur les Technologies décentralisées, les infrastructures et la gouvernance. Sam est titulaire d'un diplôme en informatique de l'Université Harvard, où il a dirigé la Harvard Political Review. Fort d'une expérience dans le secteur Technologies , il possède des actifs en ETH et en BTC. Sam faisait partie de l'équipe qui a remporté le prix Gerald Loeb 2023 pour la couverture par CoinDesk de Sam Bankman-Fried et de l'effondrement de FTX.
