telegram
vk
twitter
США расследуют iOS‑приложение Trust Wallet на предмет уязвимости
Агентство Министерства торговли США анализирует старую версию приложения Binance Trust Wallet на наличие уязвимости, которая может позволить злоумышленнику украсть средства из криптокошельков.
По данным Национального института стандартов и технологий (NIST) — агентства, которому поручено продвигать инновации и промышленную конкурентоспособность США — конкретная версия приложения Trust Wallet «неправильно использует библиотеку trezor-crypto» для генерации мнемонических слов, которые можно проверить только на источник энтропии.
Источник энтропии — это физическое место, из которого генерируются данные. В NIST отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям.
«Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков», – пояснил NIST.
Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реального масштаба уязвимости. Представитель Trust Wallet подчеркнул, что использование библиотеки Trezor было выявлено в 2018 году и существовало для кошельков iOS, созданных в период с марта 2018 года и исправленных в июле 2018 года. В то время Trust Wallet был проектом с открытым исходным кодом, и проблема повлияла на конечное число загрузок в 10 000, поэтому все фиксации и исправления кода всегда доступны и прозрачны.
Приложение Trust Wallet для iOS находится под следствием на предмет уязвимости. Источник: NIST.
По данным CVE — программы, спонсируемой Министерством внутренней безопасности США, — Secbit Labs начала расследование приложения Trust Wallet для iOS после взлома многочисленных кошельков Ethereum. Исследователи отследили уязвимость старого поколения кошельков в версии Trust Wallet для платформы iOS с 2018 года и связали ее с крупными кражами, произошедшими 12 июля 2023 года.
Представитель Binance пояснил, что Trust Wallet теперь является отдельным юридическим лицом, которое не входит в группу Binance и действует независимо от Binance.com.
Независимое расследование Milk Sad выявило как минимум 6572 уникальных мнемоники кошельков, которые могут привести к потере средств. Было обнаружено приложение Trust Wallet для iOS, использующее открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в «библиотеке trezor-crypto», которые не были предназначены для производства. После подтверждения существования слабых кошельков компания заявила, что они были причастны к кражам Milk Sad.
По завершении расследования NIST присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от ее серьезности. Также важно отметить, что уязвимость криптобиблиотеки Trezor не является конкретной проблемой Trust Wallet и потенциально может повлиять на другие приложения.
