OKX demande une mise à jour critique après la révélation d’un bug du portefeuille
L’échange de crypto-monnaie OKX et la société de sécurité blockchain CertiK ont révélé une vulnérabilité critique dans le portefeuille iOS d’OKX, déclenchant des appels immédiats aux utilisateurs pour qu’ils mettent à jour leurs applications.
L’annonce du 19 décembre a suscité une controverse sur le moment de la divulgation, alors que les inquiétudes grandissent quant à la compromission potentielle des données des utilisateurs et des actifs cryptographiques.
Certifié posté sur Twitter/X :
« Attention! Nous invitons les utilisateurs de portefeuilles OKX à mettre immédiatement à jour leur application iOS vers la dernière version. Plus tôt ce mois-ci, nous avons identifié et signalé une vulnérabilité critique d’exécution de code à distance (RCE) dans l’application OKX iOS, conduisant à une compromission potentielle des données sensibles et des actifs cryptographiques.«
Dans une annonce séparée, OKX confirmé qu’il avait déployé une mise à jour qui a résolu le problème. Il a affirmé que le bug n’avait pas affecté les fonds des clients.
Le problème ne semble pas lié à une attaque antérieure contre l’agrégateur d’échange décentralisé (DEX) d’OKX, qui a entraîné des pertes de 2,7 millions de dollars vers le 12 décembre.
Une divulgation rapide suscite la controverse
La divulgation rapide de CertiK a été critiquée par Tay Monahan, responsable de MetaMask, qui a souligné le risque de divulguer un problème le jour de la publication du correctif. Elle a écrit:
« Attends, attends, attends, attends… Combien de temps cela prend-il [OKX’s] base d’utilisateurs pour obtenir la majorité mise à jour historiquement ? Par exemple, le déploiement des mises à jour prend du temps. Comme des semaines, des mois. Et pourtant, vous révélez qu’il y a un [vulnerability] qui pourrait contacter tous les utilisateurs à distance LE JOUR ? »
Il y a également un manque de clarté autour de la date de sortie du patch. Alors que CertiK a déclaré que la mise à jour correspondante avait été déployée aujourd’hui dans une mise à jour (que l’App Store iOS identifie comme étant la version 6.46.0), OKX a déclaré que la mise à jour avait été déployée dans la version 6.45.0 (qui a été publiée le 11 décembre). Les détails dans l’App Store n’indiquent pas quelle mise à jour contient réellement le correctif.
Quoi qu’il en soit, le bug a été divulgué au plus tard huit jours après la publication du correctif, exposant ainsi les utilisateurs qui n’effectuent pas immédiatement la mise à jour en danger.
Le message OKX demande une mise à jour critique après la divulgation d’un bug du portefeuille, apparu en premier sur CryptoSlate.