La vulnérabilité - qui a maintenant été corrigée - a permis aux pirates d'extraire des phrases de départ de récupération à partir de disques informatiques.
Les portefeuilles crypto populaires, y compris MetaMask et Phantom, ont souffert pendant des mois d'une vulnérabilité critique dans leur logiciel d'extension de navigateur, selon unrapportmercredi de la société de cybersécurité Halborn.
La vulnérabilité, datant de septembre 2021 et maintenant corrigée, mettait les fonds des utilisateurs en danger car elle permettait aux pirates d'extraire des phrases de départ de récupération de portefeuille stockées sur des disques informatiques. Cependant, aucun exploit n'a encore été signalé qui pourrait être lié à la vulnérabilité.
Dans le rapport, les chercheurs de Halborn ont déclaré que les phrases de départ générées par les fournisseurs de portefeuilles étaient enregistrées sur les ordinateurs des utilisateurs en texte brut dans le cadre de la fonction "Restaurer la session". Cela signifiait que des acteurs malveillants pouvaient entrer en utilisant des logiciels malveillants ou un accès physique. Halborn a ajouté qu'ils travaillaient avec des fournisseurs de portefeuilles pour patcher leurs portefeuilles contre la vulnérabilité.
MetaMask, le portefeuille web3 le plus populaire sur Ethereum, a précisé que le problème de sécurité critique n'affectait qu'un "petit segment d'utilisateurs" et que la grande majorité des utilisateurs n'étaient pas à haut risque. Selon le blog MetaMask, il pourrait y avoir un "cas où les clés utilisateur pourraient être trouvées non chiffrées sur le disque dans de rares cas extrêmes". En outre, il a publié des atténuations sur sa dernière version d'extension de navigateur.
Pendant ce temps, Phantom, le portefeuille Web3 le plus utilisé sur la blockchain Solana, a déclaré qu'il avait commencé à publier des correctifs en janvier, trois mois après que la vulnérabilité a été initialement signalée par Halborn. De plus, Phantom prévoit de déployer un autre patch exhaustif la semaine prochaine, a-t-il déclaré.
