Le 15 juin, plusieurs sociétés fournissant des portefeuilles cryptographiques – ainsi que la société cybersec responsable de la recherche d’exploits – ont annoncé l’existence et la correction ultérieure d’un problème de sécurité affectant les portefeuilles basés sur des extensions de navigateur.
La vulnérabilité, dont le nom de code est « Demonic », a été découverte par des chercheurs en sécurité de Halborn, qui ont contacté les entreprises concernées l’année dernière. Ils ont maintenant rendu publics leurs conclusions, après avoir permis aux parties concernées de résoudre le problème à l’avance afin de limiter les dommages aux utilisateurs finaux.
Metamask, xDEFI, Brave et Phantom affectés
L’exploit Demonic – officiellement nommé CVE-2022-32969 – a été découvert à l’origine par Halborn en mai 2021. Il affectait les portefeuilles utilisant des mnémoniques BIP39, permettant aux phrases de récupération d’être interceptées par de mauvais acteurs à distance ou à l’aide d’appareils compromis, conduisant finalement à une prise de contrôle hostile. du portefeuille.
Cependant, l’exploit avait besoin d’une séquence d’événements très spécifique pour avoir lieu.
Pour commencer, ce problème n’a pas affecté les appareils mobiles. Seuls les propriétaires de portefeuilles utilisant des appareils de bureau non chiffrés étaient vulnérables – et ils auraient dû importer la phrase de récupération secrète à partir d’un appareil compromis. Enfin, l’option « Afficher la phrase de récupération secrète » aurait dû être utilisée.
⚠Halborn reçoit une importante prime de sécurité de @MetaMask pour la découverte critique⚠
Nous avons révélé une vulnérabilité critique affectant @MetaMask, @Braver, @Fantôme, @xdefi_walletet d’autres portefeuilles cryptographiques basés sur un navigateur – Un court ? sur la vulnérabilité et comment vous protéger ? :– Halborn (@HalbornSecurity) 15 juin 2022
Halborn a rapidement contacté les quatre entreprises mises en danger par l’exploit, et le travail a commencé en secret pour résoudre le problème avant qu’il ne puisse être découvert par des pirates informatiques.
« En raison de la gravité de la vulnérabilité et du nombre d’utilisateurs concernés, les détails techniques sont restés confidentiels jusqu’à ce qu’un effort de bonne foi puisse être fait pour contacter les fournisseurs de portefeuilles concernés.
Maintenant que les fournisseurs de portefeuilles ont eu la possibilité de résoudre le problème et de migrer leurs utilisateurs vers des phrases de récupération sécurisées, Halborn fournit des détails détaillés pour sensibiliser à la vulnérabilité et aider à prévenir des situations similaires à l’avenir.
Problème résolu, justiciers récompensés
Le développeur de Metamask, Dan Finlay, a publié un article de blog exhortant les utilisateurs à mettre à jour la dernière version du portefeuille afin de bénéficier du correctif, ce qui annule le problème. Finlay leur a également demandé de faire attention à la sécurité en général, en gardant les appareils cryptés à tout moment.
Le billet de blog a également annoncé le versement de 50 000 $ à Halborn pour la découverte de la vulnérabilité dans le cadre du programme de primes de bogues de Metamask, qui verse des sommes comprises entre 1 000 $ et 50 000 $, selon la gravité.
Phantom a également publié une déclaration à ce sujet, confirmant que la vulnérabilité avait été corrigée pour ses utilisateurs d’ici avril 2022. La société a également accueilli Oussama Amri – l’expert derrière la découverte de Halborn – dans l’équipe cybersec de Phantom.
1/ Depuis avril 2022, les utilisateurs de Phantom sont protégés contre la vulnérabilité critique « Demonic » dans les extensions de navigateur crypto.
Un autre patch exhaustif est en cours de déploiement la semaine prochaine et nous pensons qu’il fera @Fantôme le plus sûr de « Demonic » dans l’industrie. https://t.co/bKE1olpzng
— Fantôme (@fantôme) 15 juin 2022
Toutes les parties impliquées ont exhorté les utilisateurs concernés à s’assurer qu’ils ont mis à niveau vers la dernière version du portefeuille et à contacter les équipes de sécurité respectives pour tout problème supplémentaire.
Binance Free 100 $ (Exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (termes).
Offre spéciale PrimeXBT : utilisez ce lien pour vous inscrire et entrez le code POTATO50 pour recevoir jusqu’à 7 000 $ sur vos dépôts.
