В приложении Trust Wallet для iOS обнаружили уязвимость
Национальный институт стандартов и технологий США исследует принадлежащее Binance приложение Trust Wallet для iOS на предмет уязвимости.
Согласно описанию, ПО кошелька неправильно использует библиотеку trezor-crypto. В результате этого единственным источником энтропии для генерации мнемонических фраз является время устройства.
Баг открывает возможность для эксплойтов Trust Wallet. Злоумышленник может систематически создавать мнемоники для каждой временной метки и связывать их с конкретными адресами для кражи средств.
Поданная некоммерческой организацией MITRE Corporation заявка имеет статус ожидающей анализа. К ней приложены ссылки на соответствующие исследования уязвимости специалистами проектов Milk Sad и SECBIT Labs. Результаты были опубликованы в январе.
Эксперты обнаружили по меньшей мере 6500 подверженных риску кошельков. По их данным, уже реализованные эксплойты привели к потере почти 33 BTC только в трех крупнейших инцидентах в июле 2023 года.
Команда Trust Wallet отреагировала на публикации в СМИ, заверив, что власти США не ведут расследование касательно проекта и активы пользователей остаются в безопасности.
По словам разработчиков, речь идет об известной уязвимости в iOS-приложении, которая затронула примерно 10 000 загрузок с марта по июль 2018 года. Все пользователи были проинформированы, им предложили методы миграции активов, а баг устранили.
Hey Trust Wallet fam,
— Trust Wallet (@TrustWallet) February 15, 2024
We’d like to address some articles that have recently been published by some prominent Crypto media outlets, regarding the security of Trust Wallet.
For clarity on two main points: users assets are #SAFU and we are NOT being investigated by the US…
Binance приобрела провайдера Trust Wallet летом 2018 года. Мобильное приложение специализировалось преимущественно на Ethereum-активах и только к концу года команда добавила поддержку биткоина.
Первой десктопной версией кошелька стало решение для устройств на macOS в 2019 году.
Напомним, в апреле 2023 года разработчики сообщили об устранении критической уязвимости в основной программной библиотеке браузерного приложения Trust Wallet.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!