Ce qui s’est passé
Des attaquants ont compromis l’infrastructure de Safe{Wallet} et injecté du JavaScript malveillant qui a altéré une transaction de signature dans l’interface, drainant ~1,5 Md$ d’un portefeuille froid de Bybit — le plus grand vol de cryptomonnaie à ce jour.
La réponse honnête
Honnêtement : aucun de nos outils ne pouvait sécuriser le front-end d’un portefeuille tiers, et nous ne prétendrons pas le contraire. La leçon transférable est la classe d’attaque. Le même vecteur — du JavaScript malveillant poussé via un pipeline de build ou une dépendance empoisonnée — est précisément ce que les moteurs CI/CD et supply-chain de Stateward sont conçus pour attraper dans votre dépôt, avant qu’un build compromis n’atteigne vos utilisateurs.
Le moteur CI/CD de Stateward inspecte GitHub Actions et GitLab CI pour l’injection de script, les références mutables, les permissions trop larges et les secrets-en-run, à chaque modification de vos fichiers de pipeline.
Conçu pour mériter votre confiance
Lecture seule & éphémère
Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.
Hébergement souverain UE
Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.
Conscient de tout le code
Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.
Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.