Национальный институт стандартов и технологий США исследует принадлежащее Binance приложение Trust Wallet для iOS на предмет уязвимости.
Согласно описанию, ПО кошелька неправильно использует библиотеку trezor-crypto. В результате этого единственным источником энтропии для генерации мнемонических фраз является время устройства.
Баг открывает возможность для эксплойтов Trust Wallet. Злоумышленник может систематически создавать мнемоники для каждой временной метки и связывать их с конкретными адресами для кражи средств.
Поданная некоммерческой организацией MITRE Corporation заявка имеет статус ожидающей анализа. К ней приложены ссылки на соответствующие исследования уязвимости специалистами проектов Milk Sad и SECBIT Labs. Результаты были опубликованы в январе.
Эксперты обнаружили по меньшей мере 6500 подверженных риску кошельков. По их данным, уже реализованные эксплойты привели к потере почти 33 BTC только в трех крупнейших инцидентах в июле 2023 года.
15 февраля 2024 | 18:10Апдейт:
Команда Trust Wallet отреагировала на публикации в СМИ, заверив, что власти США не ведут расследование касательно проекта и активы пользователей остаются в безопасности.
По словам разработчиков, речь идет об известной уязвимости в iOS-приложении, которая затронула примерно 10 000 загрузок с марта по июль 2018 года. Все пользователи были проинформированы, им предложили методы миграции активов, а баг устранили.
Binance приобрела провайдера Trust Wallet в летом 2018 года. Мобильное приложение специализировалось преимущественно на Ethereum-активах и только к концу года команда добавила поддержку биткоина.
Первой десктопной версией кошелька стало решение для устройств на macOS в 2019 году.
Напомним, в апреле 2023 года разработчики сообщили об устранении критической уязвимости в основной программной библиотеке браузерного приложения Trust Wallet.