Technologies
Partager cet article

MetaMask, Phantom et d'autres portefeuilles de navigateur corrigent une vulnérabilité de sécurité

Il n'existe aucune preuve que la vulnérabilité ait été exploitée par des attaquants, ce qui signifie qu'aucun fonds d'utilisateur n'aurait été impacté.

Par Sam Kessler
Mise à jour 11 mai 2023, 6:14 p.m. Publié 15 juin 2022, 4:00 p.m. Traduit par IA
(RoonZ nl/Unsplash)
(RoonZ nl/Unsplash)

MetaMask et Phantom, deux des plus grands fournisseurs de portefeuilles Crypto , ont révélé dans des articles de blog mercredi qu'ils avaient récemment corrigé une vulnérabilité de sécurité qui aurait pu exposer des informations de connexion sensibles aux utilisateurs disposant d'appareils compromis.

Les fournisseurs de portefeuilles affirment qu'il n'y a aucune preuve que la vulnérabilité ait été exploitée par des attaquants, ce qui signifie qu'aucun fonds d'utilisateur n'est connu pour avoir été affecté.

La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and politique de confidentialité.

MetaMask et Phantom – qui ont découvert le bug sur la base d'un tuyau d'une société de sécurité blockchainHalborn – a informé au moins dix autres portefeuilles HOT basés sur navigateur qu'ils contenaient la même vulnérabilité. La liste complète des portefeuilles impactés – et corrigés – n'est pas encore connue.

Bien que la vulnérabilité soit associée à un vecteur d'attaque étroit et qu'il n'y ait aucune preuve qu'elle ait jamais été exploitée par des pirates, elle met en évidence le risque de sécurité inhérent aux portefeuilles HOT connectés à Internet par rapport aux portefeuilles matériels plus sécurisés, bien que moins pratiques.

Devez-vous vous inquiéter ?

MetaMask et Phantom ne recommandent pas à la plupart des utilisateurs de prendre d'autres mesures que de mettre à jour leurs navigateurs afin de garantir que les portefeuilles qu'ils utilisent exécutent les versions logicielles les plus récentes.

Selon le billet de blog deMétaMasquevous ne devriez vous inquiéter que si vous remplissez toutes les conditions suivantes :

  • Votre disque dur n'a pas été chiffré
  • Vous avez importé votre phrase de récupération Secret dans une extension MetaMask sur un appareil qui est en possession d'une personne en qui vous n'avez pas confiance, ou votre ordinateur est compromis
  • Vous avez utilisé la case à cocher « Afficher la phrase de récupération Secret » pour afficher votre phrase de récupération Secret à l'écran pendant ce processus d'importation.

« Si votre ordinateur n'est pas physiquement protégé contre les personnes en qui vous n'avez pas confiance, nous vous recommandons d'activer le chiffrement intégral du disque dur », selon l'article de blog MetaMask. « De plus, cela ne vous concerne pas si vos fonds sont gérés par un portefeuille matériel. »

Le billet de blog de Phantom fait largement écho à celui de MetaMask.

Dans son article de blog, MetaMask décrit les étapes que les utilisateurs doivent suivre pour passer à un nouveau portefeuille s'ils pensent que leurs informations d'identification pourraient avoir été compromises.

Halborn, qui a reçu une prime de 50 000 $ pour avoir révélé le bug, a recommandé à la plupart des utilisateurs de passer à une nouvelle adresse de portefeuille par excès de prudence.

Steve Walbroehl, cofondateur de Halborn, a déclaré à CoinDesk: « Étant donné que ce système existe depuis si longtemps, on ne sait T qui a pu être victime d'une telle attaque. Vous avez peut-être cliqué sur un e-mail d'hameçonnage malveillant et quelqu'un a pu accéder à votre machine. Peut-être que quelqu'un l'a déjà volée, même si vous avez maintenant effectué une mise à niveau. Je pense simplement que, par prudence, compte tenu de sa criticité, il est préférable de le modifier. »

Il a poursuivi : « Ma ONE recommandation est simplement d’obtenir un portefeuille matériel. »

Comment c'est arrivé

La vulnérabilité résultait d'une bizarrerie dans le langage de programmation JavaScript qui conduisait parfois à ce que la phrase de récupération Secret d'un utilisateur soit stockée dans la mémoire locale de l'utilisateur pendant un certain temps (la durée exacte est inconnue et varie probablement selon l'appareil).

Si un utilisateur avait saisi cette phrase sur un appareil compromis ou non fiable, un attaquant aurait pu la récupérer dans la mémoire s'il savait exactement où chercher (ou, plus probablement, s'il disposait d'un outil spécialisé pour cette tâche).

Une phrase de récupération Secret – également appelée phrase de départ ou phrase mnémotechnique – est une série de 12 mots que les utilisateurs reçoivent lorsqu'ils configurent un portefeuille intelligent, et elle sert de clé principale si les utilisateurs ont besoin de récupérer leur portefeuille ou de le configurer sur un nouvel appareil.

Si la phrase de récupération Secret d'une personne tombe entre les mains d'une personne malveillante, elle pourrait être utilisée pour prendre le contrôle total des fonds de la personne.

MetaMask a été informé du bug en juillet 2021 et a publié un correctif en mars de cette année. Phantom a été informé du bug en septembre 2021 et a publié plusieurs correctifs pour le corriger entre janvier et avril 2022.

MetaMaskWalletBugSecurityBug bounties

Plus pour vous

KuCoin Hits Record Market Share as 2025 Volumes Outpace Crypto Market

Par CoinDesk Research
22 déc. 2025
logo
Commissioned byKuCoin
16:9 Image

KuCoin captured a record share of centralised exchange volume in 2025, with more than $1.25tn traded as its volumes grew faster than the wider crypto market.

Ce qu'il:

  • KuCoin recorded over $1.25 trillion in total trading volume in 2025, equivalent to an average of roughly $114 billion per month, marking its strongest year on record.
  • This performance translated into an all-time high share of centralised exchange volume, as KuCoin’s activity expanded faster than aggregate CEX volumes, which slowed during periods of lower market volatility.
  • Spot and derivatives volumes were evenly split, each exceeding $500 billion for the year, signalling broad-based usage rather than reliance on a single product line.
  • Altcoins accounted for the majority of trading activity, reinforcing KuCoin’s role as a primary liquidity venue beyond BTC and ETH at a time when majors saw more muted turnover.
  • Even as overall crypto volumes softened mid-year, KuCoin maintained elevated baseline activity, indicating structurally higher user engagement rather than short-lived volume spikes.
View Full Report

Plus pour vous

Tim Grant, PDG de Deus X : Nous ne remplaçons pas la finance ; nous l'intégrons

Par Will Canny|Édité par Nikhilesh De
il y a 9 heures
Deus X CEO Tim Grant (Deus X)

Le PDG de Deus X a évoqué son parcours dans les actifs numériques, la stratégie de croissance de l'entreprise axée sur l'infrastructure, ainsi que les raisons pour lesquelles son panel à Consensus Hong Kong promet « uniquement des discussions franches ».

Ce qu'il:

  • Tim Grant est entré dans le domaine de la cryptomonnaie en 2015 après une première exposition à Ripple et Coinbase, attiré par la capacité de la blockchain à améliorer la finance traditionnelle plutôt qu’à la remplacer.
  • Deus X combine investissement et exploitation pour construire une infrastructure financière numérique réglementée couvrant les paiements, les services principaux et la DeFi institutionnelle.
  • Grant prendra la parole à Consensus Hong Kong en février.
Lire l'article complet
Dernières actualités crypto
Bitcoin (BTC) price on Jan. 26 (CoinDesk)

Le Bitcoin reste bloqué près de 88 000 $ alors que les rallyes record de l'or et de l'argent montrent des signes d'épuisement

il y a 7 heures
CoinDesk

Les craintes macroéconomiques masquent la dynamique d’Ethereum, déclare le PDG de SharpLink

il y a 8 heures
Deus X CEO Tim Grant (Deus X)

Tim Grant, PDG de Deus X : Nous ne remplaçons pas la finance ; nous l'intégrons

il y a 9 heures
my-will-death-estate

Des millions en richesses cryptographiques risquent de disparaître lors du décès des détenteurs. Voici comment les protéger

il y a 9 heures
(Photo by Kevin Horvat on Unsplash/Modified by CoinDesk)

Les marshals américains enquêtent sur des allégations selon lesquelles le fils d'un entrepreneur gouvernemental aurait volé 40 millions de dollars en crypto-monnaies saisies

il y a 10 heures
Russia stablecoin milestone. (Photo by Artem Beliaikin on Unsplash/Modified by CoinDesk)

La plateforme d'échange Crypto WhiteBIT signalée par la Russie comme « indésirable » en raison de son soutien à l'armée ukrainienne

il y a 10 heures
À la une
CoinDesk

La commission de l'Agriculture du Sénat reporte l'audition sur la structure du marché à jeudi après la tempête hivernale

il y a 12 heures
Money (Unsplash/Alexander Grey/Modified by CoinDesk)

Zerohash est en pourparlers pour lever 250 millions de dollars lors d'une valorisation de 1,5 milliard de dollars après avoir renoncé à un rachat par Mastercard

il y a 14 heures
Tom Lee

BitMine, la plus grande société de trésorerie Ethereum, réalise le plus important achat d’ether de 2026

il y a 13 heures
Racks of mining machines.

Voici les gagnants et les perdants (jusqu'à présent) dans le minage de bitcoin suite à l’investissement de 2 milliards de dollars de Nvidia dans CoreWeave

il y a 12 heures
Executive Chairman of Strategy Michael Saylor

Strategy a acheté pour 264 millions de dollars de bitcoin la semaine dernière, marquant un ralentissement par rapport au rythme récent d'acquisition

il y a 15 heures
Corner of a plaque showing a map of the Bank of Japan.

Le Bitcoin accuse un retard par rapport à l'or alors que les inquiétudes liées à l'intervention sur le yen pèsent sur les actifs à risque

il y a 15 heures