Il a fallu quelques jours à l’équipe de Trust Wallet pour corriger une vulnérabilité qui mettait en péril les fonds des utilisateurs et publier le correctif nécessaire. Mais le populaire portefeuille de crypto-monnaies n’a pas reconnu publiquement le problème pendant des mois, et affirme encore aujourd’hui que les utilisateurs concernés devront changer d’adresse de portefeuille pour protéger leurs fonds.
Samedi, Trust Wallet a annoncé qu’il avait corrigé une vulnérabilité qui affectait les utilisateurs ayant créé un portefeuille numérique à l’aide de l’extension de navigateur du projet entre le 13 et le 23 novembre de l’année dernière. La correction ne concerne que les portefeuilles créés après le 23 novembre.
« Pour se libérer de la vulnérabilité, les utilisateurs doivent migrer leurs actifs des adresses de portefeuilles affectées vers de nouvelles adresses de portefeuilles non affectées », a déclaré Trust Wallet dans un billet de blog. « Dans ces circonstances, nous avons pris toutes les mesures possibles pour informer les utilisateurs et les aider à réduire le risque d’attaques potentielles. «
Le projet de portefeuille soutenu par Binance a déclaré qu’il avait été initialement alerté du problème par un chercheur en sécurité à l’automne dernier, qui avait signalé un problème dans sa bibliothèque open-source qui exposait les clés privées à un risque de sécurité.
Bien que la plupart des fonds vulnérables des utilisateurs aient été sécurisés, Trust Wallet affirme que 88 300 dollars de fonds sont encore exposés. Trust Wallet a reconnu que quelques utilisateurs avaient été victimes de la vulnérabilité et s’est engagé sur Twitter à leur offrir un remboursement.
« Malgré tous nos efforts pour minimiser les pertes, nous avons identifié de manière proactive deux exploits probables avec une perte totale de 170 000 dollars », a déclaré le projet sur Twitter. « Pour faire honneur aux utilisateurs, nous avons créé un processus de remboursement pour les utilisateurs concernés afin de leur rendre la monnaie de leur pièce. «
7/10 Malgré tous nos efforts pour minimiser les pertes, nous avons identifié de manière proactive 2 exploits probables avec une perte totale de 170K$. Afin de rendre service aux utilisateurs, nous avons mis en place un processus de remboursement pour les utilisateurs concernés.
Voir le processus de réclamation ici : https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) Le 22 avril 2023
Une fois la vulnérabilité corrigée – empêchant ainsi les nouveaux portefeuilles d’être affectés – l’équipe du projet dit avoir débattu de l’opportunité de divulguer la vulnérabilité publiquement.
« Notre principal objectif était d’aider les utilisateurs à préserver autant que possible leurs actifs et à prévenir les pertes potentielles. « Nous pensions qu’une communication confidentielle et individuelle avec les utilisateurs leur permettrait de prendre les mesures nécessaires sans sacrifier la propriété exclusive de leurs biens.
Le projet a indiqué avoir contacté les utilisateurs concernés par le biais de plusieurs séries de notifications mobiles push et d’avertissements in-app qui apparaissaient toutes les minutes. Les messages étaient accompagnés d’instructions claires sur la manière dont les utilisateurs pouvaient transférer leurs actifs.
Non seulement Trust Wallet a offert une assistance aux utilisateurs, mais le projet a également proposé de rembourser les frais d’essence pour les utilisateurs qui transféraient leurs fonds vers des portefeuilles non compromis. Au total, Trust Wallet a remboursé environ 23,6 milliards d’euros de frais d’essence, soit environ 7 700 dollars.
En outre, Trust Wallet a contacté Binance et s’est assuré de l’aide de la bourse pour contacter les utilisateurs dont les fonds pouvaient être retracés jusqu’à la bourse. Le projet a souligné qu’il n’avait pas partagé d' »informations personnelles identifiables » avec la bourse.
Le projet a remercié l’équipe de sécurité de Binance pour avoir « trié le problème, effectué des évaluations de risques, remonté l’affaire, effectué une analyse d’impact et communiqué avec le chercheur en sécurité. «
Trust Wallet a déclaré qu’elle avait préparé une déclaration publique concernant la vulnérabilité en novembre dernier, mais qu’elle avait décidé d’attendre, évaluant l’intérêt d’informer le public par rapport à la possibilité de mettre en évidence une faille de sécurité qui pourrait encore être utilisée.
La date de l’avertissement public a finalement été repoussée de février à avril.
« Nous avons considéré qu’une fois la divulgation faite, un mauvais acteur pourrait exploiter les portefeuilles restants et s’approprier les fonds restants », a déclaré la société. « C’est pourquoi nous avons donné aux utilisateurs concernés plus de temps pour sécuriser leurs fonds au lieu de faire une divulgation prématurée. «