Binance continue d’être sous le microscope des régulateurs et des agences ces derniers mois. Cette fois-ci, c’est au tour de son Trust Wallet d’être examiné de près par l’Institut national des normes et de la technologie des États-Unis. L’institut a en effet signalé une faille potentielle.
Binance : Enquête des États-Unis sur son Trust Wallet – Vulnérabilité Découverte
Une agence américaine se penche sur la version iOS de Trust Wallet Trust Wallet est le portefeuille « non-custodial » de Binance, acquis par la société en 2018. Disponible sur Android et iOS, il prend en charge plus d’un million de jetons et de cryptomonnaies, ainsi que 50 blockchains. C’est la version iOS qui est actuellement examinée par l’Institut national des normes et de la technologie.
L’agence soupçonne l’existence d’une faille dans l’application. Elle souligne notamment que le processus de génération de phrases mnémoniques comporte des défauts :
« Le Binance Trust Wallet […] utilise incorrectement la bibliothèque trezor-crypto, ce qui entraîne la génération de phrases mnémoniques pour lesquelles l’heure affichée sur l’appareil est la seule source d’entropie. Cela peut entraîner des pertes économiques, comme cela a été le cas avec l’exploit daté de juillet 2023. »
Concrètement, cela signifie qu’une personne mal intentionnée pourrait générer des phrases mnémoniques pour chaque heure (timestamp) et les associer à des adresses spécifiques pour dérober les fonds des portefeuilles concernés.
Les anciennes versions de l’application pourraient être vulnérables
Le groupe de recherche Secbit Labs a confirmé l’existence de cette faille, qui serait présente depuis 2018. Selon eux, elle aurait été à l’origine des vols importants survenus en juillet dernier, également mentionnés par l’Institut national des normes et de la technologie. Secbit Labs appelle donc les utilisateurs à la prudence :
« Les utilisateurs utilisant des versions obsolètes de l’application pourraient toujours être en danger. »
Par ailleurs, le rapport souligne que plusieurs portefeuilles actuels sont des dérivés de Trust Wallet. Cela suggère qu’ils pourraient également présenter cette faille. Pour l’instant, Binance n’a pas réagi à ce sujet, mais il est probable que le signalement de l’Institut national des normes et de la technologie permettra d’éclaircir cette affaire.
