Une agence du ministère américain du commerce analyse l'application Trust Wallet de Binance à la recherche d'une vulnérabilité qui pourrait permettre à un pirate de voler des fonds dans des portefeuilles de cryptomonnaie.

Selon le National Institute of Standards and Technology (NIST) - l'organisme chargé de promouvoir l'innovation et la compétitivité industrielle des États-Unis - une version spécifique de l'application Trust Wallet de Binance « utilise abusivement la bibliothèque trezor-crypto » pour générer des mots mnémoniques qui ne peuvent être vérifiés qu'au niveau de la source d'entropie.

Une source d'entropie est un emplacement physique à partir duquel les données sont générées. Le NIST a indiqué qu'une vulnérabilité similaire avait été exploitée en juillet 2023, entraînant des pertes économiques. Il a expliqué :

« Un pirate peut systématiquement générer des codes mnémoniques pour chaque horodatage dans un laps de temps donné, et les relier à des adresses de portefeuilles spécifiques afin de voler des fonds dans ces portefeuilles. »

L'information a été rendue publique le 8 février et est actuellement en attente d'analyse pour déterminer la portée réelle de la vulnérabilité.

L'application Trust Wallet de Binance pour iOS fait l'objet d'une enquête concernant une vulnérabilité. Source : NIST

Selon CVE - un programme parrainé par le ministère américain de la Sécurité intérieure - Secbit Labs a commencé à enquêter sur l'application Trust Wallet de Binance pour iOS après le piratage de nombreux portefeuilles d'ether (ETH). Les chercheurs ont repéré une ancienne faiblesse de génération de portefeuilles dans la version de la version iOS de Trust Wallet datant de 2018 et l'ont reliée aux vols importants du 12 juillet 2023.

À lire également : Les inscriptions de Bitcoin intégrées à la base de données nationale sur les vulnérabilités des États-Unis

Binance n'a pas répondu à la demande de commentaire de Cointelegraph. Cependant, une enquête indépendante menée par Milk Sad a trouvé au moins 6 572 mnémoniques de portefeuilles uniques qui risquent d'entraîner une perte de fonds.

Elle a découvert que l'application Trust Wallet pour iOS utilisait un code open-source pour générer de nouveaux portefeuilles de cryptomonnaies en utilisant des fonctions dangereuses dans la « bibliothèque trezor-crypto » qui n'étaient pas destinées à la production. Après avoir confirmé l'existence de ces portefeuilles peu fiables, le NIST a affirmé qu'ils étaient impliqués dans les vols de Milk Sad.

À l'issue de l'enquête, le NIST attribuera à la vulnérabilité de l'application une note de base allant de 0 à 10, en fonction de sa gravité.