TrustWallet Mengungkap Eksploitasi $170,000, Mengatakan 500 Dompet Masih Rentan

Tim TrustWallet berencana untuk mengganti biaya pengguna yang terkena dampak kerentanan yang ditemukan pada November 2022.

Perusahaan dompet Crypto TrustWallet mengungkapkan bahwa kerentanan memengaruhi beberapa penggunanya pada bulan November dan mengklaim telah menambal masalah tersebut.

Dalam 22 April posting blog, tim TrustWallet mengungkapkan kerentanan yang memengaruhi alamat dompet yang dibuat antara 14 dan 23 November melalui ekstensi browser.

1/10 Trust Wallet dibangun di atas keamanan & kepercayaan. Jadi kami membagikan kerentanan yang memengaruhi alamat baru yang dibuat 14-23,22 November menggunakan Ekstensi Peramban.

Masalahnya sudah diperbaiki. Sebagian besar dana berisiko dijamin. Pengguna yang terpengaruh harus mengambil tindakan yang diuraikan:
➡️https://t.co/X9AEfqWW87

— Dompet Kepercayaan (@TrustWallet) 22 April, 2023

“Terlepas dari upaya terbaik kami, kami secara proaktif mendeteksi dua eksploitasi potensial, yang mengakibatkan kerugian total sekitar $170,000 USD pada saat serangan itu terjadi,” kata tim tersebut. 

Tim tersebut diberitahu tentang kerentanan tersebut oleh peneliti keamanan, yang mengidentifikasi bug yang terkait dengan modul back-end WebAssembly (WASM) perusahaan. Masalahnya adalah generator bilangan pseudo-acak yang digunakan untuk membuat kunci pribadi tidak memberikan tingkat keacakan yang memadai, yang berarti pelaku kejahatan dapat memantau dan memprediksi iterasi di masa depan.

Kerentanan ditemukan cukup awal pada 17 November, namun, perusahaan memutuskan tindakan terbaik adalah tidak mengungkapkannya sampai ditambal. Namun, dua eksploitasi terjadi pada bulan Desember dan Maret, dan menurut tim, upaya untuk mengganti kerugian yang terkena dampak sudah dilakukan.

“Kami menyiapkan pernyataan keterbukaan publik. Namun, kami menganggap bahwa setelah pengungkapan dilakukan, pelaku jahat dapat mengeksploitasi dompet yang tersisa dan mengambil alih kepemilikan dana yang tersisa.” tersebut tim TrustWallet dalam pernyataan post-mortem.

Sebagian besar dana pengguna yang terkena dampak telah diamankan, namun ada pula yang masih dalam risiko. Selain itu, pengguna yang membuat dompet antara versi 0.0.172 dan versi 0.0.182 perlu memigrasikan sendiri aset mereka ke dompet yang tidak terpengaruh.

“Saat ini, dompet ini menyimpan sekitar $88,300 USD di ~500 dompet yang terpengaruh dengan saldo token yang lebih tinggi dari $10 USD,” kata tim tersebut.