Découverte d’une « faille » sur le wallet d’Uniswap — Ce qu’il faut savoir

Une faille dans le wallet Web3 d'Uniswap ?

Ce matin, les équipes de sécurité de ScaleBit ont informé avoir découvert une faille au sein du wallet d'Uniswap (UNI). En effet, ladite vulnérabilité permettrait à quiconque ayant un accès physique au téléphone d'une potentielle victime, d'avoir accès à la phrase mnémotechnique permettant la récupération du portefeuille :

⚠️ We identified a vulnerability in the iOS version of the #Uniswap Wallet

🚨 This flaw enables attackers with physical access to the device to bypass the wallet’s authentication mechanisms and directly retrieve the mnemonic phrase stored on the devicehttps://t.co/AjAij1IIMz pic.twitter.com/YwxzrZddcZ

— ScaleBit (@scalebit_) January 14, 2025

Dans des propos confiés à nos confrères de Cointelegraph, l'entreprise explique ainsi que cette vulnérabilité peut rapidement être exploitée, à condition que le téléphone soit déjà déverrouillé :

Toute personne ayant accès à un appareil déverrouillé peut obtenir la phrase mnémotechnique du portefeuille en moins de trois minutes.

👉 Découvrez notre avis sur le hardware wallet Ledger Flex pour protéger vos cryptos

Après des tests en interne, nous pouvons effectivement confirmer que si, lors de la création d'un wallet Uniswap, un utilisateur ignore les options de sécurité comme l'authentification biométrique, il est effectivement possible d'accéder aux 12 mots de récupération sans aucun mot de passe. Par ailleurs, ce manquement en matière de sécurité est aussi bien valable sur iOS que sur Android.

Faut-il fuir le wallet d'Uniswap pour autant ?

Avant que vous ne désinstalliez votre portefeuille Uniswap pour utiliser un autre wallet, il convient de rappeler quelques conseils de sécurité.

S'il s'agit effectivement d'une importante lacune, qui peut aussi être vue comme un parti-pris d'Uniswap pour faciliter l'expérience utilisateur, rappelons qu'aucun hot wallet similaire (comme MetaMask ou Phantom) n'est pas réellement sécurisé s'il n'est pas couplé à un hardware wallet. Et pour cause, la clé privée du portefeuille est stockée sur l'appareil de l'utilisateur.

Cela signifie qu'il vous suffit de télécharger une application malveillante par inadvertance sur votre téléphone pour mettre à risque ledit wallet.

Dans ces conditions, il convient d'utiliser un hot wallet uniquement pour des opérations du quotidien avec des montants raisonnables, comme vous le feriez avec un véritable porte-monnaie, et d'utiliser des options de stockage plus sécurisées pour l'essentiel de vos investissements en cryptomonnaies.

👉 Dans l'actualité également — Fuite de données chez OpenSea : 7 millions d'adresses email rendues publiques

De manière plus générale, demandez-vous également si vous souhaiteriez vraiment confier votre téléphone déverrouillé à quelqu'un, comme cela est nécessaire dans le cas de la vulnérabilité d'Uniswap, alors que ledit téléphone donne accès à une partie de vos cryptomonnaies. Pour ce qui est du cas extrême d'un vol ou d'une agression, les pertes seraient aussi limitées, si le conseil précédent sur la diversification des moyens de stockage a été respecté.

Source : Cointelegraph

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2225 articles

Tous ses articles