В приложении Trust Wallet для iOS обнаружили уязвимость

Национальный институт стандартов и технологий США исследует принадлежащее Binance приложение Trust Wallet для iOS на предмет уязвимости.

Согласно описанию, ПО кошелька неправильно использует библиотеку trezor-crypto. В результате этого единственным источником энтропии для генерации мнемонических фраз является время устройства.

Баг открывает возможность для эксплойтов Trust Wallet. Злоумышленник может систематически создавать мнемоники для каждой временной метки и связывать их с конкретными адресами для кражи средств.

Поданная некоммерческой организацией MITRE Corporation заявка имеет статус ожидающей анализа. К ней приложены ссылки на соответствующие исследования уязвимости специалистами проектов Milk Sad и SECBIT Labs. Результаты были опубликованы в январе.

Эксперты обнаружили по меньшей мере 6500 подверженных риску кошельков. По их данным, уже реализованные эксплойты привели к потере почти 33 BTC только в трех крупнейших инцидентах в июле 2023 года.

Binance приобрела провайдера Trust Wallet летом 2018 года. Мобильное приложение специализировалось преимущественно на Ethereum-активах и только к концу года команда добавила поддержку биткоина.

Первой десктопной версией кошелька стало решение для устройств на macOS в 2019 году.

Напомним, в апреле 2023 года разработчики сообщили об устранении критической уязвимости в основной программной библиотеке браузерного приложения Trust Wallet.