Les États-Unis enquêtent sur l'application iOS Trust Wallet
15 Feb, 2024 ● Actualités monétaires

Selon le National Institute of Standards and Technology (NIST), qui promeut l'innovation américaine, une version spécifique de l'app Binance Trust Wallet "abuse de la bibliothèque trezor-crypto" pour créer des phrases mnémoniques qui ne peuvent être authentifiées qu'à la source d'entropie.
Une source d'entropie est un lieu physique où les données sont générées. Le NIST a mis en évidence une vulnérabilité similaire exploitée en juillet 2023, qui a entraîné des pertes financières. Il a expliqué :
"Un attaquant peut systématiquement créer des mnémoniques pour chaque horodatage dans un laps de temps donné et les associer à des adresses de portefeuilles spécifiques afin de détourner des fonds."
Cette divulgation a été rendue publique le 8 février et fait maintenant l'objet d'un examen minutieux afin d'évaluer l'étendue réelle de la vulnérabilité.
Selon le CVE, un organisme de sécurité intérieure des États-Unis, le ministère de la sécurité intérieure des États-Unis, la vulnérabilité est un problème de taille.Selon CVE, un programme parrainé par le ministère américain de la sécurité intérieure, Secbit Labs a lancé une enquête sur l'application Binance Trust Wallet pour iOS après que plusieurs portefeuilles d'Ether ont été compromis.
Ils ont remonté une ancienne faille de génération de portefeuilles dans la version iOS de Trust Wallet datant de 2018 et l'ont reliée aux vols majeurs du 12 juillet 2023.
Binance n'a pas répondu à la demande de commentaire de Cointelegraph. Néanmoins, une enquête indépendante menée par Milk Sad a permis de découvrir au moins 6 572 mnémoniques de portefeuilles uniques exposés au risque de perte de fonds.
Il a constaté que l'application Trust Wallet pour iOS utilisait un code open-source pour générer de nouveaux portefeuilles de crypto-monnaie à l'aide de fonctions dangereuses dans la "bibliothèque trezor-crypto", qui n'était pas destinée à la production.
Après avoir confirmé l'existence de portefeuilles vulnérables, il a allégué leur implication dans les vols de Milk Sad.
A l'issue de l'enquête, le NIST attribuera une note de base à la vulnérabilité de l'application, allant de 0 à 10, en fonction de sa gravité.
Sources:
https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2024-23660
https://www.cve.org/CVERecord?id=CVE-2024-23660
https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/
.