Il a fallu quelques jours à l'équipe de Trust Wallet pour corriger une vulnérabilité qui mettait en danger les fonds des utilisateurs et publier la correction nécessaire. Mais le portefeuille de cryptomonnaie populaire n'a pas publiquement reconnu le problème pendant des mois, et affirme même maintenant que les utilisateurs concernés devront transférer leurs fonds vers une nouvelle adresse de portefeuille pour protéger leurs fonds.
Samedi, Trust Wallet a annoncé avoir corrigé une vulnérabilité qui affecte les utilisateurs ayant créé un portefeuille numérique à l'aide de l'extension de navigateur du projet entre le 13 novembre et le 23 novembre de l'année dernière. La correction ne concerne que les portefeuilles de navigateur créés après le 23 novembre.
“Pour être à l'abri de la vulnérabilité, les utilisateurs doivent migrer leurs actifs des adresses de portefeuille affectées vers de nouvelles adresses de portefeuille non affectées”, a déclaré Trust Wallet dans un article. “Dans ces circonstances, nous avons pris toutes les mesures possibles pour informer les utilisateurs et les aider à atténuer le risque d'attaques potentielles.”
Le projet de portefeuille soutenu par Binance a déclaré avoir été initialement alerté du problème par un chercheur en sécurité à l'automne dernier, qui a signalé un problème dans sa bibliothèque open-source qui exposait les clés privées à un risque de sécurité.
Bien que la plupart des fonds vulnérables des utilisateurs aient été sécurisés, Trust Wallet affirme que 88,300 $ de fonds sont toujours exposés. Trust Wallet a reconnu que quelques utilisateurs avaient été victimes de la vulnérabilité, s'engageant sur Twitter à leur offrir un remboursement.
“Malgré nos meilleurs efforts pour minimiser les pertes, nous avons identifié de manière proactive 2 exploitations probables avec une perte totale de 170 000 $”, a déclaré le projet sur Twitter.
7/10 Despite our best efforts to minimize loss, we proactively identified 2 likely exploits with a total loss of $170K. To do right to users, we created a reimbursement process for affected users to make them whole.
See the claim process here: https://t.co/a7qLwJQuop
— Trust Wallet (@TrustWallet) April 22, 2023
Une fois la vulnérabilité corrigée - empêchant les nouveaux portefeuilles d'être impactés - l'équipe du projet affirme avoir débattu de la question de savoir s'il fallait divulguer publiquement la vulnérabilité.
“Notre objectif principal était d'aider les utilisateurs à préserver autant que possible leurs actifs et d'éviter les pertes potentielles”, a-t-il déclaré. “Nous avons estimé que la communication confidentielle et individuelle avec les utilisateurs leur permettrait de prendre les mesures nécessaires sans sacrifier la propriété exclusive de leurs actifs.”
Le projet a déclaré avoir contacté les utilisateurs concernés par plusieurs rounds de notifications push mobiles et d'avertissements in-app qui apparaissaient toutes les minutes. Les messages étaient accompagnés d'instructions claires sur la façon dont les utilisateurs pouvaient transférer leurs actifs, a-t-il déclaré.
Non seulement Trust Wallet a offert un support client aux utilisateurs, mais le projet a également proposé de rembourser les frais de gaz pour les utilisateurs transférant leurs fonds vers des portefeuilles non compromis. Au total, Trust Wallet a remboursé environ 23,6 BNB de frais de gaz, soit environ 7 700 $.
De plus, Trust Wallet a contacté Binance et a obtenu l'aide de l'échange pour contacter les utilisateurs qui avaient des fonds qui pouvaient être retracés jusqu'à l'échange. Le projet a souligné qu'il n'avait pas partagé d'informations personnellement identifiables avec l'échange.
Le projet a remercié l'équipe de sécurité de Binance pour "avoir trié le problème, effectué des évaluations de risques, escaladé le problème, effectué une analyse d'impact et communiqué avec le chercheur en sécurité".
Trust Wallet a déclaré avoir préparé une déclaration publique concernant la vulnérabilité en novembre dernier, mais a décidé d'attendre, pesant la valeur d'informer le public contre la possibilité de mettre en évidence une faille de sécurité qui pourrait encore être utilisée.
La date d'avertissement public a finalement été repoussée de février à avril.
"Nous avons considéré qu'une fois la divulgation faite, un acteur malveillant pourrait exploiter les portefeuilles restants et prendre possession des fonds restants", a-t-il déclaré. "Par conséquent, nous avons donné aux utilisateurs concernés plus de temps pour sécuriser leurs fonds au lieu de faire une divulgation prématurée."