Les utilisateurs de crypto se concentrent souvent sur les interfaces utilisateur et accordent moins d’attention aux protocoles internes complexes. Les experts en sécurité ont récemment soulevé des préoccupations concernant une vulnérabilité critique dans la crypto-MCP (modèle-context-protocol), un protocole de connexion et d’interaction avec les blockchains.
Cette faille pourrait permettre aux pirates de voler des actifs numériques. Ils pourraient rediriger les transactions ou exposer la phrase de graines – la clé pour accéder à un portefeuille cryptographique.
À quel point la vulnérabilité crypto-MCP est-elle dangereuse?
Crypto-MCP est un protocole conçu pour prendre en charge les tâches de blockchain. Ces tâches comprennent la question de l’interrogation, l’envoi de jetons, le déploiement de contrats intelligents et l’interaction avec les protocoles de financement décentralisés (DEFI).
Des protocoles comme Base MCP de Base, Solana MCP de Solana et ThirdWeb MCP offrent des fonctionnalités puissantes. Il s’agit notamment de l’accès aux données de la blockchain en temps réel, de l’exécution automatisée des transactions et du support multi-chaînes. Cependant, la complexité et l’ouverture du protocole introduisent également des risques de sécurité s’ils ne sont pas correctement gérés.
Le développeur Luca Beurer-Kellner a soulevé la question début avril. Il a averti qu’une attaque basée sur MCP pourrait fuir les messages WhatsApp via le protocole et contourner la sécurité de WhatsApp.
Suite à cela, Superoo7 – tête de données et AI chez Chromia – a investi et a rapporté une vulnérabilité potentielle dans la base-MCP. Ce numéro affecte le curseur et Claude, deux plates-formes d’IA populaires. Le défaut permet aux pirates d’utiliser des techniques «injection rapides» pour modifier l’adresse du destinataire dans les transactions cryptographiques.
Par exemple, si un utilisateur essaie d’envoyer 0,001 ETH à une adresse spécifique, un pirate peut insérer du code malveillant pour rediriger les fonds vers son portefeuille. Pire encore, l’utilisateur peut ne rien remarquer de mal. L’interface affichera toujours les détails d’origine de la transaction prévus.
“Ce risque vient de l’utilisation d’un MCP “empoisonné”. Les pirates pourraient inciter la base de base à leur envoyer votre crypto au lieu de ce que vous vouliez. Si cela se produit, vous ne le remarquez peut-être pas”, a déclaré Superoo7.
Le développeur Aaronjmars a souligné un problème encore plus grave. Les phrases de graines de portefeuille sont souvent stockées non cryptées dans les fichiers de configuration MCP. Si les pirates ont accès à ces fichiers, ils peuvent facilement voler la phrase de graines et contrôler complètement le portefeuille et les actifs numériques de l’utilisateur.
“MCP est une architecture impressionnante pour l’interopérabilité et les interactions locales d’abord. Mais la merde sacrée, la sécurité actuelle n’est pas adaptée aux besoins de Web3. Nous avons besoin d’une meilleure architecture proxy pour les portefeuilles”, a souligné Aaronjmars.
Jusqu’à présent, aucun cas confirmé de cette vulnérabilité étant exploité pour voler des actifs cryptographiques n’existe. Cependant, la menace potentielle est grave.
Selon Superoo7, les utilisateurs doivent se protéger en utilisant MCP uniquement contre les sources de confiance, en gardant les équilibres du portefeuille minimes, en limitant les autorisations d’accès MCP et en utilisant l’outil MCP-SCAN pour vérifier les risques de sécurité.
Les pirates peuvent voler des phrases de graines à bien des égards. Un rapport de Security Intelligence à la fin de l’année dernière a révélé qu’un logiciel malveillant Android appelé Spyagent cible les phrases de graines en volant des captures d’écran.
Kaspersky a également découvert des logiciels malveillants Sparkcat qui extrait des phrases de graines d’images utilisant l’OCR. Pendant ce temps, Microsoft a mis en garde contre Stilachirat, malware qui cible 20 extensions de navigateur de portefeuille crypto sur Google Chrome, y compris Metamask et Trust Wallet.
Clause de non-responsabilité
Dans l’adhésion aux directives du projet Trust, Beincrypto s’est engagé dans des rapports transparents impartiaux. Cet article de presse vise à fournir des informations précises et opportunes. Cependant, les lecteurs sont invités à vérifier les faits indépendamment et à consulter un professionnel avant de prendre des décisions en fonction de ce contenu. Veuillez noter que nos termes et conditions, notre politique de confidentialité et nos clauses de non-responsabilité ont été mis à jour.
Résumé
La vulnérabilité dans le protocole crypto-MCP soulève de sérieuses préoccupations concernant la sécurité des actifs numériques. Les utilisateurs sont invités à prendre des précautions pour protéger leurs portefeuilles contre d’éventuelles attaques qui pourraient compromettre leurs informations sensibles, telles que les phrases de graines de portefeuille.
