Οι ΗΠΑ ερευνούν την εφαρμογή Trust Wallet iOS App

Ένα τμήμα του Υπουργείου Εμπορίου των Ηνωμένων Πολιτειών εξετάζει την εφαρμογή Binance Trust Wallet για μια πιθανή ευπάθεια που θα μπορούσε να επιτρέψει σε επιτιθέμενους να κλέψουν κεφάλαια κρυπτονομισμάτων.

Όπως αναφέρει το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST), το οποίο προωθεί την αμερικανική καινοτομία, μια συγκεκριμένη έκδοση της εφαρμογής Binance Trust Wallet "χρησιμοποιεί καταχρηστικά τη βιβλιοθήκη κρυπτογράφησης trezor" για τη δημιουργία μνημονικών φράσεων που μπορούν να πιστοποιηθούν μόνο στην πηγή εντροπίας.

Πηγή εντροπίας είναι μια φυσική τοποθεσία όπου παράγονται δεδομένα. Το NIST επισήμανε μια παρόμοια ευπάθεια που αξιοποιήθηκε τον Ιούλιο του 2023, με αποτέλεσμα οικονομικές απώλειες. Αναλυτικότερα:

"Ένας επιτιθέμενος μπορεί να δημιουργήσει συστηματικά μνημονικά για κάθε χρονοσφραγίδα εντός ενός σχετικού χρονικού πλαισίου και να τα συσχετίσει με συγκεκριμένες διευθύνσεις πορτοφολιού για να κλέψει κεφάλαια."

Αυτή η αποκάλυψη δημοσιοποιήθηκε στις 8 Φεβρουαρίου και τώρα εξετάζεται για να εκτιμηθεί η πραγματική έκταση της ευπάθειας.

Σύμφωνα με το CVE, μια U.πρόγραμμα που χρηματοδοτείται από το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ, η Secbit Labs ξεκίνησε έρευνα σχετικά με την εφαρμογή Binance Trust Wallet για iOS μετά την παραβίαση αρκετών πορτοφολιών Ether.

Εντόπισαν ένα σφάλμα παλαιότερης γενιάς πορτοφολιών στην έκδοση iOS του Trust Wallet από το 2018 και το συνέδεσαν με τις μεγάλες κλοπές στις 12 Ιουλίου 2023.

Η Binance δεν απάντησε στο αίτημα του Cointelegraph για σχολιασμό. Παρ' όλα αυτά, μια ανεξάρτητη έρευνα της Milk Sad αποκάλυψε τουλάχιστον 6.572 μοναδικά μνημόνια πορτοφολιών που κινδύνευαν από την απώλεια κεφαλαίων.

Διαπίστωσε ότι η εφαρμογή Trust Wallet για iOS χρησιμοποιούσε κώδικα ανοιχτού κώδικα για τη δημιουργία νέων πορτοφολιών κρυπτονομισμάτων χρησιμοποιώντας μη ασφαλείς λειτουργίες στη βιβλιοθήκη "trezor-crypto library", που δεν προορίζονταν για παραγωγή.

Μετά την επιβεβαίωση της ύπαρξης ευάλωτων πορτοφολιών, ισχυρίστηκε ότι εμπλέκονται στις κλοπές Milk Sad.

Μετά την έρευνα, το NIST θα αποδώσει μια βασική βαθμολογία στην ευπάθεια της εφαρμογής, που θα κυμαίνεται από 0 έως 10, ανάλογα με τη σοβαρότητά της.

Πηγές:

https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability

https://nvd.nist.gov/vuln/detail/CVE-2024-23660

https://www.cve.org/CVERecord?id=CVE-2024-23660

https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/