TrustWallet révèle un exploit de 170,000 500 $, déclare que XNUMX portefeuilles sont toujours vulnérables

L'équipe TrustWallet prévoit de rembourser les utilisateurs concernés qui ont été impactés par une vulnérabilité découverte en novembre 2022.

La société de portefeuille crypto TrustWallet a révélé qu'une vulnérabilité avait affecté certains de ses utilisateurs en novembre et prétend avoir corrigé le problème.

Dans un 22 avril blog récents, l'équipe TrustWallet a révélé une vulnérabilité qui affectait les adresses de portefeuille créées entre le 14 et le 23 novembre via une extension de navigateur.

1/10 Trust Wallet est basé sur la sécurité et la confiance. Nous partageons donc une vulnérabilité affectant les nouvelles adresses créées du 14 au 23,22 novembre à l'aide de l'extension de navigateur.

Le problème est résolu. La plupart des fonds à risque sont sécurisés. Les utilisateurs concernés doivent prendre les mesures décrites :
➡️https://t.co/X9AEfqWW87

– Portefeuille de confiance (@TrustWallet) 22 avril 2023

"Malgré tous nos efforts, nous avons détecté de manière proactive deux exploits potentiels, entraînant une perte totale d'environ 170,000 XNUMX USD au moment de l'attaque", a déclaré l'équipe. 

L’équipe a été informée de la vulnérabilité par un chercheur en sécurité, qui a identifié le bug lié au module back-end WebAssembly (WASM) de l’entreprise. Le problème était le générateur de nombres pseudo-aléatoires utilisé pour créer des clés privées qui n'offrait pas un niveau adéquat de caractère aléatoire, ce qui signifiait que les mauvais acteurs pouvaient surveiller et prédire les itérations futures.

La vulnérabilité a été découverte assez tôt le 17 novembre, cependant, la société a décidé que la meilleure chose à faire était de ne pas la divulguer avant qu'elle ne soit corrigée. Cependant, deux exploits ont suivi en décembre et mars, et selon l'équipe, les efforts pour rembourser les personnes concernées sont déjà en cours.

«Nous avons préparé une déclaration de divulgation publique. Cependant, nous avons considéré qu'une fois la divulgation faite, un mauvais acteur pourrait exploiter les portefeuilles restants et s'approprier les fonds restants », a affirmé Valérie Plante. l'équipe TrustWallet dans une déclaration post-mortem.

La plupart des fonds des utilisateurs concernés ont été sécurisés, mais certains sont toujours en danger. De plus, les utilisateurs qui ont créé des portefeuilles entre la version 0.0.172 et la version 0.0.182 doivent migrer eux-mêmes leurs actifs vers un portefeuille non affecté.

"Actuellement, ces portefeuilles détiennent environ 88,300 500 USD sur environ 10 portefeuilles concernés avec un solde supérieur à XNUMX USD de jetons", a déclaré l'équipe.