TrustWallet maakt misbruik van $ 170,000 bekend, zegt dat 500 portefeuilles nog steeds kwetsbaar zijn

Het TrustWallet-team is van plan getroffen gebruikers te vergoeden die zijn getroffen door een kwetsbaarheid die in november 2022 is ontdekt.

Crypto-portemonneebedrijf TrustWallet onthulde dat een kwetsbaarheid sommige van zijn gebruikers in november trof en beweert het probleem te hebben gepatcht.

In een 22 april blogpost, onthulde het TrustWallet-team een ​​kwetsbaarheid die van invloed was op portemonnee-adressen die tussen 14 en 23 november via een browserextensie waren aangemaakt.

1/10 Trust Wallet is gebouwd op veiligheid en vertrouwen. We delen dus een kwetsbaarheid die van invloed is op nieuwe adressen die tussen 14 en 23,22 november zijn gemaakt met de browserextensie.

Het probleem is opgelost. De meeste risicovolle fondsen zijn beveiligd. Getroffen gebruikers moeten de volgende acties ondernemen:
➡️https://t.co/X9AEfqWW87

—Trust Wallet (@TrustWallet) 22 april 2023

"Ondanks onze inspanningen hebben we proactief twee potentiële exploits gedetecteerd, wat resulteerde in een totaal verlies van ongeveer $ 170,000 USD op het moment van de aanval", aldus het team. 

Het team werd op de hoogte gebracht van de kwetsbaarheid door een beveiligingsonderzoeker, die de bug identificeerde die verband hield met de back-end WebAssembly (WASM)-module van het bedrijf. Het probleem was de generator van pseudo-willekeurige getallen die werd gebruikt om privésleutels te creëren die niet voldoende willekeur boden, wat betekende dat slechte actoren toekomstige iteraties konden monitoren en voorspellen.

De kwetsbaarheid werd vrij vroeg op 17 november ontdekt, maar het bedrijf besloot dat de beste manier van handelen was om het niet bekend te maken totdat het was gepatcht. Er volgden echter twee exploits in december en maart, en volgens het team zijn er al inspanningen om de getroffenen te vergoeden.

“We hebben een openbaarmakingsverklaring opgesteld. We waren echter van mening dat zodra de onthulling was gedaan, een slechte actor de resterende portefeuilles zou kunnen exploiteren en eigenaar zou kunnen worden van het resterende geld. zei het TrustWallet-team in een post-mortemverklaring.

De meeste fondsen van de getroffen gebruikers zijn veiliggesteld, maar sommige lopen nog steeds risico. Bovendien moeten gebruikers die portemonnees hebben gemaakt tussen versie 0.0.172 en versie 0.0.182 hun activa zelf migreren naar een niet-getroffen portemonnee.

"Momenteel bevatten deze portefeuilles ongeveer $ 88,300 USD over ~ 500 getroffen portefeuilles met een saldo van meer dan $ 10 USD aan tokens", aldus het team.