Национальный институт стандартов и технологий анализирует iOS-версию приложения Trust Wallet на предмет уязвимости, которая потенциально может быть использована для кражи средств с криптовалютных кошельков.
Агентство Министерства торговли США анализирует более старую версию “приложения Binance Trust Wallet” на предмет уязвимости, которая может позволить злоумышленнику украсть средства с криптовалютных кошельков.
Согласно Национальному институту стандартов и технологий (NIST) — агентству, занимающемуся продвижением инноваций и конкурентоспособности промышленности США, — определенная версия приложения Trust Wallet “неправильно использует библиотеку trezor-crypto” для генерации мнемонических слов, которые могут быть проверены только в источнике энтропии.
Источником энтропии является физическое местоположение, откуда генерируются данные. NIST отметило, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям. В нем объясняется:
“Злоумышленник может систематически генерировать мнемоники для каждой временной метки в пределах применимых временных рамок и привязывать их к определенным адресам кошельков, чтобы украсть средства с этих кошельков”.
Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реальных масштабов уязвимости. В беседе с Cointelegraph представитель Trust Wallet подчеркнул, что использование библиотеки Trezor было выявлено в 2018 году и существовало для кошельков iOS, созданных в период с марта 2018 года по исправление в июле 2018 года. В то время Trust Wallet был проектом с открытым исходным кодом, и проблема повлияла на конечное число загрузок в 10 000. , поэтому все фиксации кода и исправления являются общедоступными и прозрачными в любое время.
Согласно CVE — программе, спонсируемой Министерством внутренней безопасности США, — Secbit Labs начала расследование приложения Trust Wallet для iOS после многочисленных эфиров (ETH $2,802) кошельки были взломаны. Исследователи отследили слабое место кошелька более старого поколения в версии Trust Wallet для платформы iOS от 2018 года и связали его с крупными кражами 12 июля 2023 года.
В разговоре представитель Binance пояснил, что Trust Wallet теперь является отдельным юридическим лицом, которое не является частью Binance group и работает независимо от Binance.com.
Независимое расследование Milk Sad выявило по меньшей мере 6572 уникальных мнемотехники кошелька, которые могут привести к потере средств. Было обнаружено, что приложение Trust Wallet для iOS использует открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в “библиотеке trezor-crypto library”, которые не предназначались для производства. После подтверждения существования слабых кошельков компания заявила, что они были причастны к кражам Milk Sad.
По завершении расследования NIST присвоит уязвимости приложения базовую оценку в диапазоне от 0 до 10, в зависимости от ее серьезности. Также важно отметить, что уязвимость в криптобирже Trezor не является специфичной для Trust Wallet проблемой и потенциально может повлиять на любые другие приложения, использующие эту версию криптобиржи Trezor.
Если информация, которую я предоставил, оказалась интересной и познавательной, не стесняйтесь отметить это лайком и подписаться на канал, чтобы получать ещё больше полезных рекомендаций