Un rapport de juillet de la plateforme de certification de cybersécurité CER a révélé que seules 6 marques de portefeuilles de crypto-monnaie sur 45 (13,3 %) ont subi des tests d'intrusion pour détecter des failles de sécurité. Parmi eux, seule la moitié a testé les dernières versions de leurs produits.

Trois marques qui auraient effectué les derniers tests d'intrusion sont MetaMask, ZenGo et Trust Wallet. Rabby et Bifrost ont effectué des tests d'intrusion sur des versions antérieures du logiciel, et LedgerLive a effectué des tests d'intrusion sur une version inconnue (répertoriée comme « N/A » dans le rapport). Toutes les autres marques répertoriées n’ont fourni aucune preuve que ces tests ont été effectués.

Le rapport fournit également un classement global de la sécurité de chaque portefeuille, classant les portefeuilles MetaMask, ZenGo, Rabby, Trust Wallet et Coinbase comme les portefeuilles les plus sécurisés dans l'ensemble.

Les « tests d'intrusion » sont une méthode permettant de découvrir les vulnérabilités de sécurité d'un système informatique ou d'un logiciel. Les chercheurs en sécurité tentent de pirater un appareil ou un logiciel et de l'utiliser à des fins involontaires. Dans la plupart des cas, les testeurs d’intrusion disposent de peu d’informations sur le fonctionnement du produit. Ce processus est utilisé pour simuler des tentatives de piratage réelles afin de découvrir des vulnérabilités avant la sortie d'un produit.

Le CER a constaté que 39 des 45 marques de portefeuilles n'avaient effectué aucun test d'intrusion, pas même sur les anciennes versions du logiciel. CER suppose que la raison pourrait être que ces tests sont coûteux, en particulier si l'entreprise met fréquemment à jour ses produits, notant : « Nous attribuons cela au volume de mises à jour de l'application moyenne, où chaque nouvelle mise à jour peut annuler les pénétrations effectuées précédemment. .

Ils ont constaté que les marques de portefeuilles les plus populaires étaient plus susceptibles de mener des audits de sécurité, y compris des tests d'intrusion, car elles disposaient généralement des fonds nécessaires pour le faire :

« Essentiellement, les portefeuilles populaires ont tendance à mettre en œuvre des mesures de sécurité plus strictes pour protéger leurs bases d'utilisateurs croissantes. Cela semble logique : une base d'utilisateurs plus élevée correspond généralement à des fonds plus importants à protéger, une plus grande visibilité et donc davantage de menaces potentielles peuvent également conduire à un retour positif. boucle, avec des portefeuilles plus sécurisés attirant plus de nouveaux utilisateurs que les portefeuilles moins sécurisés.

Le classement des portefeuilles du CER est basé sur une méthodologie qui inclut des facteurs tels que les bug bounties, les incidents passés et les fonctionnalités de sécurité telles que les méthodes de récupération et les exigences en matière de mot de passe.

Bien que la plupart des marques de portefeuilles n'effectuent pas de tests d'intrusion, CER a déclaré que beaucoup d'entre elles s'appuient sur des primes de bogues pour détecter les vulnérabilités, ce qui constitue souvent un moyen efficace de prévenir les pirates. Ils ont évalué 47 portefeuilles individuels sur 159 comme étant globalement « sûrs », ce qui signifie qu’ils ont un score de sécurité supérieur à 60. Ces 159 portefeuilles incluent certains de la même marque. Par exemple, le navigateur MetaMask pour Edge est considéré comme un portefeuille distinct de MetamlMask pour Android.

Related: Les primes aux bogues pourraient aider à sécuriser les réseaux blockchain, mais les résultats sont mitigés

La sécurité des portefeuilles est devenue un problème urgent en 2023, puisque plus de 100 millions de dollars ont été perdus lors du piratage d'Atomic Wallet le 3 juin. L'équipe d'Atomic spécule que la vulnérabilité pourrait être causée par l'injection d'un virus ou d'un logiciel malveillant dans l'infrastructure de l'entreprise, mais la vulnérabilité exacte qui a permis l'attaque reste inconnue. Le portefeuille en ligne MyAlgo a également subi une faille de sécurité fin février, qui aurait coûté plus de 9 millions de dollars aux utilisateurs.

Auteur : Shenlian DCNews

Compilateur : Sœur Shen

Twitter : Chaîne profonde

Twitter : https://twitter.com/DeepChainUS