" Агентство Министерства торговли США анализирует старую версию приложения Binance Trust Wallet на наличие уязвимости, которая может позволить злоумышленнику украсть средства из криптокошельков.
По данным Национального института стандартов и технологий (NIST) — агентства, которому поручено продвигать инновации и промышленную конкурентоспособность США — конкретная версия приложения Trust Wallet «неправильно использует библиотеку trezor-crypto» для генерации мнемонических слов, которые можно проверить только на источник энтропии.
Источник энтропии — это физическое место, из которого генерируются данные. В NIST отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям.
«Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков», – пояснил NIST.
Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реального масштаба уязвимости. Представитель Trust Wallet подчеркнул, что использование библиотеки Trezor было выявлено в 2018 году и существовало для кошельков iOS, созданных в период с марта 2018 года и исправленных в июле 2018 года. В то время Trust Wallet был проектом с открытым исходным кодом, и проблема повлияла на конечное число загрузок в 10 000, поэтому все фиксации и исправления кода всегда доступны и прозрачны.
Приложение Trust Wallet для iOS находится под следствием на предмет уязвимости. Источник: NIST.
По данным CVE — программы, спонсируемой Министерством внутренней безопасности США, — Secbit Labs начала расследование приложения Trust Wallet для iOS после взлома многочисленных кошельков Ethereum. Исследователи отследили уязвимость старого поколения кошельков в версии Trust Wallet для платформы iOS с 2018 года и связали ее с крупными кражами, произошедшими 12 июля 2023 года.
Представитель Binance пояснил, что Trust Wallet теперь является отдельным юридическим лицом, которое не входит в группу Binance и действует независимо от Binance.com.
Независимое расследование Milk Sad выявило как минимум 6572 уникальных мнемоники кошельков, которые могут привести к потере средств. Было обнаружено приложение Trust Wallet для iOS, использующее открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в «библиотеке trezor-crypto», которые не были предназначены для производства. После подтверждения существования слабых кошельков компания заявила, что они были причастны к кражам Milk Sad.
По завершении расследования NIST присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от ее серьезности. Также важно отметить, что уязвимость криптобиблиотеки Trezor не является конкретной проблемой Trust Wallet и потенциально может повлиять на другие приложения.
