Le portefeuille de cryptomonnaies Trust Wallet a révélé une faille de sécurité qui a entraîné des pertes de près de 170 000 $ pour certains utilisateurs. La faille a été corrigée selon la société.

Trust Wallet a découvert le problème par l'intermédiaire de son programme de récompense des bugs. Un chercheur en sécurité a signalé une défaillance de WebAssembly dans la bibliothèque open-source Wallet Core en novembre 2022. Les nouvelles adresses de portefeuille générées « entre le 14 et le 23 novembre 2022 par l'extension de navigateur contiennent cette vulnérabilité », a déclaré la société dans un communiqué, ajoutant que toutes les adresses créées avant et après ces dates sont sûres.

1/10 Trust Wallet est construit sur la sécurité et la confiance. Nous partageons donc une anomalie affectant les nouvelles adresses créées entre le 14 et le 23 novembre 2022 à l'aide de l'extension de navigateur. Le problème est résolu. La plupart des fonds à risque sont sécurisés. Les utilisateurs concernés doivent prendre les mesures indiquées :➡️https://t.co/X9AEfqWW87- Trust Wallet (@TrustWallet) 22 avril 2023

La brèche a donné lieu à deux piratages qui ont entraîné une perte totale de près de 170 000 $. Environ 500 adresses vulnérables subsistent, avec un solde de 88 000 $, selon un rapport post-mortem. Les utilisateurs concernés se verront offrir un remboursement et une aide pour les frais de transactions afin de couvrir les coûts des transferts de fonds. Trust Wallet a d'ailleurs tenus à les rassurer dans son annonce :

« Nous voulons assurer aux utilisateurs que nous rembourserons les pertes éligibles dues aux piratages liés à la faille et nous avons créé un processus de remboursement pour les utilisateurs concernés. Nous avons également demandé aux utilisateurs concernés [de] transférer le solde restant de ~88 000 USD sur toutes les adresses vulnérables dès que possible. »

Les utilisateurs qui ont connu des mouvements de fonds anormaux fin décembre 2022 et fin mars 2023 pourraient faire partie des personnes affectées par les deux piratages.

La société a invité les clients concernés à créer un nouveau portefeuille et à transférer leurs fonds. Les utilisateurs dont les adresses sont fragilisées seront avertis par l'intermédiaire de l'extension de navigateur Trust Wallet, a indiqué l'entreprise. Les développeurs qui ont utilisé la bibliothèque Wallet Core en 2022 doivent mettre en œuvre la dernière version de celle-ci. Les adresses de portefeuilles affectées de Binance ont été précédemment notifiées par l'intermédiaire de l'exchange de cryptomonnaies.

Un autre piratage récemment dévoilé a drainé près de 11 millions $ en tokens non fongibles et en cryptomonnaies à partir de diverses adresses sur 11 blockchains depuis décembre 2022, ciblant les vétérans de la communauté crypto. L'attaque a d'abord été attribuée à un piratage dans le portefeuille MetaMask, mais l'entreprise l'a ensuite démentie.