BTC
$108,857.51
-
0.99%
ETH
$2,821.01
+
1.76%
USDT
$1.0001
+
0.02%
XRP
$2.2948
-
0.13%
BNB
$667.57
-
0.33%
SOL
$163.42
-
1.22%
USDC
$0.9997
+
0.01%
DOGE
$0.1963
+
0.55%
TRX
$0.2779
-
4.53%
ADA
$0.7056
-
0.50%
HYPE
$42.36
+
1.79%
SUI
$3.4442
-
0.60%
LINK
$15.23
-
0.15%
AVAX
$21.81
-
1.78%
XLM
$0.2793
+
0.06%
BCH
$427.93
-
1.72%
LEO
$9.0472
+
2.35%
TON
$3.2593
-
1.16%
SHIB
$0.0₄1320
-
0.13%
HBAR
$0.1755
-
2.43%
Logo
  • Nouvelles
  • Tarifs
  • Données
  • Indices
  • Recherche
  • Événements
  • Sponsorisé
  • Se connecter
  • S'inscrire
Publicité
Technologies
Partager cet article
X iconX (Twitter)LinkedInFacebookEmail

La société de portefeuilles Crypto Dfns déclare que les « liens magiques » présentent une vulnérabilité critique

Les services concernés affirment qu'ils n'ont reçu pratiquement aucun préavis avant que le Dfns ne publie son article de blog détaillant ce que l'on appelle le zero day.

Par Sam Kessler
Mise à jour 24 févr. 2023, 8:06 p.m. Publié 24 févr. 2023, 12:00 p.m. Traduit par IA
(Kenny Eliason/Unsplash)
(Kenny Eliason/Unsplash)

Certains liens magiques – une méthode de connexion sans mot de passe adoptée par un nombre croissant de portefeuilles Crypto et d'applications Web – présentent une vulnérabilité critique, selon la startup de portefeuilles Crypto Dfns.

Dfns propose des services de portefeuilleet est soutenu par des sociétés telles que White Star Capital, Hashed, Susquehanna, Coinbase Ventures et ABN AMRO.

La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir Toutes les Newsletters
En vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.

Un LINK magique est une URL unique à usage unique générée par un site Web ou une application pour authentifier un utilisateur sans lui demander de saisir un mot de passe. Lorsqu'un utilisateur clique sur un LINK magique qui lui est envoyé par une application Web, celle-ci vérifie son identité et le connecte à son compte.

Initialement lancés par Slack et d'autres applications Web2 populaires, les liens magiques sont devenus une méthode de connexion de plus en plus courante pour les portefeuilles Crypto . Au lieu d'obliger les utilisateurs à mémoriser une clé complexe ou une phrase de départ, les liens magiques sont présentés comme un moyen plus rapide, plus simple et plus sûr de se connecter.

Mais Dfns affirme que les liens magiques – qui peuvent être mis en œuvre différemment d’une application à l’autre – sont souvent beaucoup moins sécurisés que les méthodes de connexion plus traditionnelles.

Dfns catégorise la vulnérabilité qu'il a découverte commeun exploit « zero day » – si grave qu’elle rend les liens magiques toxiques pour les développeurs. Étant donné l’omniprésence des liens magiques au-delà des portefeuilles Crypto (ils sont utilisés par certains gestionnaires de mots de passe populaires, par exemple), Dfns a déclaré dans un communiqué que la vulnérabilité pourrait « représenter un risque considérable pour une partie substantielle de l’économie mondiale ».

Les services touchés par la vulnérabilité ont toutefois considérablement minimisé le risque qu'elle représentait pour CoinDesk, la qualifiant de type de vulnérabilité plus bénigne, bien que toujours inquiétante. attaque de phishing. De plus, plusieurs portefeuilles populaires se sont plaints du fait que Dfns ne leur a donné qu'un préavis de trois jours avant de se précipiter pour publier leurs conclusions,bien en deçà des normes communément acceptées en matière de Déclaration de transparence des vulnérabilités. Ils ont ajouté, en outre, que Dfns a tout intérêt à dénigrer les services de portefeuille sans mot de passe ; le modèle commercial de Dfns consiste à protéger les mots de passe Crypto de ses clients.

Bien que tout le monde ne soit pas d'accord avec la caractérisation de la gravité des conclusions du Dfns, les personnes qui ont parlé à CoinDesk ont ​​noté que les résultats mettent en évidence la manière dont certaines sociétés de Cryptomonnaie obsédées par la croissance ont privilégié la commodité à la sécurité dans le but d'attirer les utilisateurs.

« Au début des années 2000, les noms d’utilisateur et les mots de passe étaient constamment compromis. Mais aujourd’hui, nous disposons d’une authentification à deux facteurs, d’OTP (mots de passe à usage unique) » et d’autres méthodes de connexion plus sécurisées, a déclaré à CoinDesk Zhen Yu Yong, PDG de Web3Auth. (Web3Auth propose un service de connexion sans mot de passe qui était vulnérable à l’exploit découvert par Dfns.) L’industrie de la Crypto « utilise encore largement des phrases de départ à facteur unique – l’authentification à facteur unique ».

Détournement de liens magiques

Lors d'une démonstration sur Zoom, le Dr Samer Fayssal, directeur de la sécurité des informations (CISO) du Dfns, a montré comment un pirate informatique peut détourner les services populaires de portefeuille Crypto « Magic LINK » en utilisant simplement l'adresse e-mail d'un utilisateur.

En utilisant un portefeuille de gravure CoinDesk flambant neuf comme mannequin de test, Faysall a démontré comment un pirate pouvait envoyer un LINK magique qui semblait (et était, dans un sens) authentique. Le LINK provenait de l'adresse e-mail réelle du service de portefeuille et en cliquant dessus, on se connectait au portefeuille de gravure CoinDesk .

Mais lorsque Fayssal a partagé son écran, il a montré qu'en cliquant sur le LINK, CoinDesk lui avait par inadvertance donné un accès complet à son portefeuille.

Avec deux avocats de Dnfs en ligne (apparemment pour attester du fait que Dfns ne piratait pas réellement CoinDesk), Fayssal a accepté de répéter son attaque sur un autre service de portefeuille Crypto sans mot de passe.

Dans ses deux démonstrations, c’est Fayssal – et non CoinDesk – qui a lancé la Request de connexion qui a déclenché un e-mail contenant un LINK magique. Si un utilisateur reçoit un e-mail de connexion sans réellement essayer de se connecter à un service, il s’agit généralement d’un signal d’alarme de phishing – même si l’e-mail semble tout à fait authentique.

Fayssal n'a pas voulu expliquer comment il avait réussi ces attaques, déclarant à CoinDesk qu'il ne voulait T que ses méthodes tombent entre de mauvaises mains. Il a cependant déclaré qu'il avait personnellement contacté plus d'une douzaine d'entreprises qu'il estime vulnérables à l'exploit et qu'il leur avait proposé de les aider à mettre en place des mesures de protection.

Quant aux utilisateurs de portefeuilles à LINK magiques, « le conseil que je donnerais aux utilisateurs est de mettre en œuvre l'authentification à deux facteurs dès que possible, si possible », a déclaré Fayssal.

CoinDesk a parlé avec trois des sociétés de Crypto que Dfns a identifiées comme des utilisateurs de liens magiques. Toutes ont confirmé que les découvertes de Fayssal étaient authentiques, mais elles ont toutes déclaré que Dfns exagérait en qualifiant l'attaque de « zero day ».

Magic Labs, ONEune des sociétés utilisées par Dfns dans sa démonstration, a déclaré un jour plus tard qu'elle n'était plus vulnérable.

« Magic Labs n’est plus vulnérable à ce type de phishing et, à notre connaissance, aucun de nos utilisateurs finaux n’a été affecté », a déclaré Sean Li, PDG de Magic Labs. « Nous évaluons et améliorons constamment la sécurité de notre plateforme. »

Attaque zero day ou phishing ?

Web3Auth était l'autre service de portefeuille Crypto que Dfns a utilisé pour démontrer la vulnérabilité du LINK magique à CoinDesk. Analyses Yong de Web3Auth, la vulnérabilité du LINK magique ne peut T être qualifiée d'exploit « zero day » plus grave, car l'utilisateur doit cliquer sur un LINK magique piraté pour qu'il fonctionne.

« Nous considérons cela comme une attaque de phishing », a déclaré Yong à CoinDesk. « C'est similaire à une attaque de phishing sur MetaMask, où il y a une dapp [application décentralisée] qui envoie une transaction malveillante, l'utilisateur l'approuve, puis l'utilisateur peut envoyer ses jetons à une adresse malveillante ou quelque chose du genre. »

L'attaque par LINK magique échoue si l'utilisateur rate l'e-mail piraté, clique sur le LINK après son expiration ou trouve suspect qu'un LINK magique lui ait été envoyé alors qu'il n'avait T essayé de se connecter. (En ce qui concerne ce dernier point, Fayssal affirme qu'un attaquant pourrait programmer stratégiquement le LINK pour qu'il arrive au moment où l'utilisateur est censé se connecter au service cible.)

Yong a déclaré à CoinDesk que Web3Auth dispose de mesures de protection pour empêcher le phishing, bien qu'il ait admis que ces mesures de protection n'étaient T suffisantes pour lutter contre la vulnérabilité de Fayssal.

Il faut cependant reconnaître que Web3Auth a ajouté au bas de ses e-mails contenant des LINK magiques un texte spécifiant l'adresse IP qui a déclenché la tentative de connexion. Dans la démonstration de Fayssal, son LINK magique piraté provenait d'une adresse IP différente de celle de CoinDesk, ce qui laisse penser que le LINK était frauduleux, même si l'e-mail provenait directement de Web3Auth.

Yong a déclaré que Web3Auth mettrait en œuvre des méthodes anti-phishing supplémentaires à la lumière des recherches de Fayssal.

Sequence, une plateforme de développement web3 qui propose un portefeuille Crypto sans mot de passe, a déclaré à CoinDesk qu'elle avait mis en place des mesures de protection qui ont rendu inefficace la vulnérabilité découverte par Dfns. « Pour Sequence, je ne pense T que ce soit aussi grave du tout », a déclaré Peter Kieltyka, PDG d'Horizon, la société qui a développé Sequence. « Mais vous savez, oui, pour certains autres produits, je pense qu'ils pourraient prendre des mesures supplémentaires. »

Peter a accusé Dfns d’avoir exagéré la gravité de la vulnérabilité du LINK magique en la qualifiant de « coup marketing ».

RegulationsVulnerabilitiesWalletsExclusive
Sam Kessler

Sam is CoinDesk's deputy managing editor for tech and protocols. His reporting is focused on decentralized technology, infrastructure and governance. Sam holds a computer science degree from Harvard University, where he led the Harvard Political Review. He has a background in the technology industry and owns some ETH and BTC. Sam was part of the team that won a 2023 Gerald Loeb Award for CoinDesk's coverage of Sam Bankman-Fried and the FTX collapse.

X icon
CoinDesk News Image
Dernières actualités crypto
test

[Test 2] La stratégie accroît ses avoirs en Bitcoin avec le dernier achat de plusieurs millions de dollars.

10 juin 2025

Article image

Les baleines du Bitcoin semblent annoncer un sommet alors que le prix du BTC se consolide.

29 mai 2025

Bitcoin (BTC) price on May 19 (CoinDesk)

Le Bitcoin grimpe à 105 000 $ ; l’émetteur d’ETF crypto anticipe une hausse de 35 %.

29 mai 2025

Breaking News

Nouveau test majeur.

29 mai 2025

FastNews (CoinDesk)

Test de nouvelles rapides.

29 mai 2025

Article image

Ethereum progresse de 4 % sur un volume massif alors que l'intérêt institutionnel se renforce.

27 mai 2025

À la une
(CJ/Unsplash)

XRP Futures Start Trading on CME

19 mai 2025

JPMorgan Chase CEO Jamie Dimon (Photo by Kevin Dietsch/Getty Images)

JPMorgan va permettre à ses clients d’acheter du Bitcoin, déclare Jamie Dimon.

19 mai 2025

Ethereum co-founder Vitalik Buterin (CoinDesk Archives)

Vitalik Buterin, d'Ethereum, propose une conception pour faciliter l'exécution des nœuds

19 mai 2025

A barman shakes a cocktail shaker with an array of drinks bottles behind him.

Crypto Daybook Americas : Le Bitcoin secoue le marché, la hausse des rendements américains menace une hausse

19 mai 2025

Mike Novogratz, Galaxy founder and CEO, speaks at Consensus 2024 (CoinDesk/Shutterstock/Suzanne Cordiero)

Selon un cabinet d'études, Galaxy Digital mise sur les centres de données IA et non sur le minage de Bitcoin .

19 mai 2025

Tokyo, Japan (Jaison Lin/Unsplash)

Metaplanet achète 1 004 Bitcoin supplémentaires, portant ses avoirs à plus de 800 millions de dollars .

19 mai 2025

Il ne reste que 2 articles ce mois-ci.

Inscrivez-vous gratuitement

À propos

  • À propos de nous
  • Ours
  • Offres d’emploi
  • Actualités CoinDesk
  • Crypto API Documentation

Contact

  • Contact
  • Accessibilité
  • Faire de la Publicité
  • Plan du Site
  • System Status
DISCLOSURE & POLICES
CoinDesk est un primé média qui couvre l'industrie des crypto-monnaies. Ses journalistes respectent un ensemble strict de règles politiques éditoriales. CoinDesk a adopté un ensemble de principes visant à garantir l'intégrité, l'indépendance éditoriale et l'absence de parti pris de ses publications. CoinDesk fait partie du groupe Bullish, qui possède et investit dans des entreprises d'actifs numériques et des actifs numériques. Les employés de CoinDesk, y compris les journalistes, peuvent recevoir une rémunération en actions du groupe Bullish. Bullish a été incubé par l'investisseur technologique Block.one.
ÉthiquePolitique de ConfidentialitéConditions d'UtilisationCookie SettingsDo Not Sell My Info

© 2025 CoinDesk, Inc.
X icon
S'inscrire
  • Nouvelles
    Retour au menu
    Nouvelles
    • Marchés
    • Finance
    • Technologie
    • Juridique
    • Se concentrer
  • Tarifs
    Retour au menu
    Tarifs
    • Données
      Retour au menu
      Données
      • Données commerciales
      • Produits dérivés
      • Données du carnet de commandes
      • Données en chaîne
      • API
      • Recherche et perspectives
      • Catalogue de données
      • IA et apprentissage automatique
    • Indices
      Retour au menu
      Indices
      • Indices multi-actifs
      • Taux de référence
      • Stratégies et services
      • API
      • Informations et annonces
      • Documentation et gouvernance
    • Recherche
      Retour au menu
      Recherche
      • Événements
        Retour au menu
        Événements
        • Consensus 2025
        • Couverture du consensus 2025
      • Sponsorisé
        Retour au menu
        Sponsorisé
        • Leadership éclairé
        • Communiqués de presse
        • CoinW
        • MEXC
        • Phemex
        • Annoncer
      • Vidéos
        Retour au menu
        Vidéos
        • CoinDesk Daily
        • Shorts
        • Choix de l'éditeur
      • Podcasts
        Retour au menu
        Podcasts
        • Réseau de podcasts CoinDesk
        • Marchés quotidiens
        • Gén C
        • Déchaîné avec Laura Shin
        • Le module minier
      • Newsletters
        Retour au menu
        Newsletters
        • Le nœud
        • Crypto Daybook Amériques
        • État de la Crypto
        • Crypto Long & Short
        • Crypto pour les conseillers
      • Webinaires et Événements
        Retour au menu
        Webinaires et Événements
        • Consensus 2025
        • Conférence sur les Juridique et la réglementation
      Sélection de la langue
      Français frEnglish enEspañol esFilipino filItaliano itPortuguês pt-brРусский ruУкраїнська uk