BTC 96302.2$
ETH 3383.67$
Tether (USDT) 1$
Toncoin (TON) 5.82$
telegram vk
telegram vk Х
Russian English
"

США расследуют iOS‑приложение Trust Wallet на предмет уязвимости

Дата публикации:16.02.2024, 10:35
1335
1335
Поделись с друзьями!

Агентство Министерства торговли США анализирует старую версию приложения Binance Trust Wallet на наличие уязвимости, которая может позволить злоумышленнику украсть средства из криптокошельков.

По данным Национального института стандартов и технологий (NIST) — агентства, которому поручено продвигать инновации и промышленную конкурентоспособность США — конкретная версия приложения Trust Wallet «неправильно использует библиотеку trezor-crypto» для генерации мнемонических слов, которые можно проверить только на источник энтропии.

Источник энтропии — это физическое место, из которого генерируются данные. В NIST отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям.

«Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков», – пояснил NIST.

Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реального масштаба уязвимости. Представитель Trust Wallet подчеркнул, что использование библиотеки Trezor было выявлено в 2018 году и существовало для кошельков iOS, созданных в период с марта 2018 года и исправленных в июле 2018 года. В то время Trust Wallet был проектом с открытым исходным кодом, и проблема повлияла на конечное число загрузок в 10 000, поэтому все фиксации и исправления кода всегда доступны и прозрачны.


Приложение Trust Wallet для iOS находится под следствием на предмет уязвимости. Источник: NIST.

По данным CVE — программы, спонсируемой Министерством внутренней безопасности США, — Secbit Labs начала расследование приложения Trust Wallet для iOS после взлома многочисленных кошельков Ethereum. Исследователи отследили уязвимость старого поколения кошельков в версии Trust Wallet для платформы iOS с 2018 года и связали ее с крупными кражами, произошедшими 12 июля 2023 года.

Представитель Binance пояснил, что Trust Wallet теперь является отдельным юридическим лицом, которое не входит в группу Binance и действует независимо от Binance.com.

Независимое расследование Milk Sad выявило как минимум 6572 уникальных мнемоники кошельков, которые могут привести к потере средств. Было обнаружено приложение Trust Wallet для iOS, использующее открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в «библиотеке trezor-crypto», которые не были предназначены для производства. После подтверждения существования слабых кошельков компания заявила, что они были причастны к кражам Milk Sad.

По завершении расследования NIST присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от ее серьезности. Также важно отметить, что уязвимость криптобиблиотеки Trezor не является конкретной проблемой Trust Wallet и потенциально может повлиять на другие приложения.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24