У додатку Trust Wallet для iOS виявили вразливість
Національний інститут стандартів і технологій США досліджує застосунок Trust Wallet для iOS, який належить Binance, на предмет уразливості.
Згідно з описом, ПЗ гаманця неправильно використовує бібліотеку trezor-crypto. У результаті цього єдиним джерелом ентропії для генерації мнемонічних фраз є час пристрою.
Баг відкриває можливість для експлойтів Trust Wallet. Зловмисник може систематично створювати мнемоніки для кожної часової мітки і пов’язувати їх із конкретними адресами для крадіжки коштів.
Подана некомерційною організацією MITRE Corporation заявка має статус такої, що очікує на аналіз. До неї додано посилання на відповідні дослідження вразливості фахівцями проєктів Milk Sad і SECBIT Labs. Результати було опубліковано в січні.
Експерти виявили щонайменше 6500 схильних до ризику гаманців. За їхніми даними, уже реалізовані експлойти призвели до втрати майже 33 BTC тільки в трьох найбільших інцидентах у липні 2023 року.
Binance придбала провайдера Trust Wallet влітку 2018 року. Мобільний застосунок спеціалізувався переважно на Ethereum-активах і тільки до кінця року команда додала підтримку біткоїна.
Першою десктопною версією гаманця стало рішення для пристроїв на macOS 2019 року.
Нагадаємо, у квітні 2023 року розробники повідомили про усунення критичної вразливості в основній програмній бібліотеці браузерного застосунку Trust Wallet.