Une faille sur d'anciennes versions de MetaMask et Phantom pourrait exposer certains wallets

Une faille pouvant mettre en péril la sécurité des fonds placés sur MetaMask et Phantom a été dévoilée par les 2 entités, et concernerait certaines personnes ayant utilisé le processus d'importation de phrase secrète. La vulnérabilité a toutefois été corrigée sur les 2 portefeuilles, il est donc vivement conseillé d'effectuer toute mise à jour qui s'avérerait nécessaire.

Une faille sur d'anciennes versions de MetaMask et Phantom pourrait exposer certains wallets

Certains wallets MetaMask et Phantom compromis

Mercredi 15 juin, MetaMask a publié un billet sur son blog expliquant qu'une faille avait été découverte sur une ancienne version de son wallet, laquelle pouvait compromettre la sécurité des fonds des utilisateurs concernés.

Cette faille concerne exclusivement les utilisateurs utilisant MetaMask sur leur ordinateur à travers un navigateur, les personnes utilisant l'application mobile ne sont par conséquent pas concernées. Selon le communiqué, la faille a été corrigée depuis la version 10.11.3.

À cet effet, la firme encourage vivement ses utilisateurs à effectuer une mise à jour si cela s'avère nécessaire. Cela concernerait toutefois, à priori, seulement une poignée d'utilisateurs du célèbre wallet Ethereum.

Effectivement, selon MetaMask, un utilisateur est potentiellement concerné s'il remplit les 3 conditions suivantes :

  • Son disque dur n'était pas chiffré ;
  • Il a importé sa phrase de récupération secrète dans une extension de navigateur MetaMask sur un ordinateur potentiellement à risque ;
  • S'il a coché la case « Afficher la phrase de récupération secrète » durant le processus d'importation.

Si vous remplissez l'ensemble de ces conditions, alors votre wallet pourrait être exposé. L'équipe de MetaMask recommande vivement, dans ce cas, de transférer les fonds vers un nouveau wallet vers un appareil sûr.

De plus, la vulnérabilité concernerait particulièrement les utilisateurs qui auraient utilisé la méthode d'importation sur un appareil compromis ou volé peu de temps après.

Toutefois, le communiqué précise que les personnes utilisant un hardware wallet (comme Ledger) pour sécuriser leurs fonds sont épargnées par ce risque potentiel. L'occasion de rappeler à quel point il est crucial de sécuriser ses cryptomonnaies via ce type de portefeuille.

? Pour approfondir : Cold wallet et phrases de récupération - pouvez-vous récupérer toutes vos cryptos ?

Le wallet Phantom également concerné

Phantom, un des principaux wallets de la blockchain Solana (SOL), est également concerné. Selon son propre communiqué, des correctifs ont commencé à être appliqués petit à petit depuis le mois de janvier, jusqu'à que la faille soit totalement corrigée grâce à une mise à jour datant du mois d'avril.

La faille se présente de la même façon que pour le wallet MetaMask. Autrement dit, un utilisateur de Phantom peut être concerné dès lors qu'il a importé sa phrase de récupération secrète depuis un navigateur potentiellement vulnérable.

C'est l'entreprise spécialisée dans la sécurité blockchain Halborn qui a découvert la vulnérabilité en premier, avant de la signaler aux équipes de développement des 2 wallets, qui n'ont pas manqué de vivement la remercier. MetaMask a d'ailleurs choisi de lui verser 50 000 dollars en tant que récompense.

L'ingénieur en sécurité qui avait découvert la faille l'année dernière a depuis intégré les équipes de Phantom, ce qui a, selon l'entreprise, apporté une réelle plus-value à la sécurité de ses utilisateurs :

« Nous sommes ravis d'accueillir Oussama Amri, qui a découvert la menace l'année dernière alors qu'il faisait partie de Halborn [...]. Grâce au travail acharné des ingénieurs Josiah Savary et Laamia Islam, non seulement des parties substantielles de notre base de code ont été modifiées, mais nous avons également complètement réécrit la façon dont nous générons les seed phrases. »

Le communiqué de Phantom précise que les détails de la vulnérabilité n'ont pas été dévoilés plus tôt afin que toutes les parties concernées puissent apporter un correctif adapté. La firme souhaite également partager le code source d'une partie de son wallet afin d'aider ses homologues :

« Une fois que des audits supplémentaires auront été réalisés cet été, nous prévoyons d'ouvrir le code source de notre approche du paquet BIP-39 pour la génération de phrases de démarrage afin que d'autres portemonnaies puissent également mieux se protéger et protéger leurs utilisateurs. »

Encore une fois, nous nous permettons de rappeler que la meilleure sécurité pour vos cryptomonnaies est et restera un hardware wallet, afin que vous soyez totalement maître de vos fonds.

? À lire également : Les NFTs BAYC pourraient être la cible d’une nouvelle attaque, selon le cofondateur de Yuga Labs 

Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrun
Publicité

Sources : Medium MetaMask, blog de Phantom

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.


Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital

Subscribe
Me notifier des
guest
1 Commentaire
Inline Feedbacks
View all comments
Aym

Pour sécuriser vos fonds, impératif d'utiliser MM avec un hardware wallet type Ledger, en parallèle je vous invite à vous renseigner sur le wallet proposé par QRDO, la nouvelle génération en terme de sécurité pour vos cryptomonnaies

Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

Quelles sont les 3 cryptos qui surperforment le marché ?

Quelles sont les 3 cryptos qui surperforment le marché ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?