Az USA vizsgálja a Trust Wallet iOS alkalmazást
15 Feb, 2024 ● Érmehírek
Az Egyesült Államok Kereskedelmi Minisztériumának egy részlege vizsgálja a Binance Trust Wallet alkalmazást egy lehetséges sebezhetőség miatt, amely lehetővé teheti a támadók számára, hogy kriptopénzeket lopjanak.
Az amerikai innovációt támogató Nemzeti Szabványügyi és Technológiai Intézet (NIST) szerint a Binance Trust Wallet alkalmazás egy bizonyos verziója "visszaél a trezor-kriptokönyvtárral", hogy olyan mnemonikus kifejezéseket hozzon létre, amelyeket csak az entrópiaforrásnál lehet hitelesíteni.
Az entrópiaforrás egy fizikai hely, ahol az adatok keletkeznek. A NIST kiemelte, hogy 2023 júliusában egy hasonló sebezhetőséget használtak ki, ami pénzügyi veszteségeket okozott. Részletesebben kifejtette:
"Egy támadó szisztematikusan létrehozhat mnemonikus adatokat minden egyes időbélyeghez egy releváns időkereten belül, és ezeket meghatározott pénztárcacímekhez társíthatja, hogy pénzeszközöket zsákmányoljon."
A közzététel február 8-án történt, és most vizsgálják a sebezhetőség tényleges mértékét.
A CVE szerint egy U.S. Department of Homeland Security által támogatott program szerint a Secbit Labs vizsgálatot kezdeményezett a Binance Trust Wallet iOS alkalmazással kapcsolatban, miután több Ether-tárca is veszélybe került.
A Trust Wallet iOS verziójában egy régebbi, 2018-as pénztárcagenerációs hibát találtak, és ezt hozták összefüggésbe a 2023. július 12-i nagyobb lopásokkal.
A Binance nem válaszolt a Cointelegraph megkeresésére. Ennek ellenére a Milk Sad független vizsgálata legalább 6572 egyedi tárca-emlékszámot fedezett fel, amelyeknél fennállt az alapvesztés veszélye.
A vizsgálat megállapította, hogy a Trust Wallet alkalmazás iOS-re nyílt forráskódú kódot használt új kriptopénz tárcák létrehozására a "trezor-crypto library" nem biztonságos, nem gyártásra szánt funkcióinak használatával.
A sebezhető tárcák létezésének megerősítése után a NIST azt állította, hogy azok részt vettek a Milk Sad lopásokban.
A vizsgálatot követően a NIST az alkalmazás sebezhetőségének súlyossága alapján 0-tól 10-ig terjedő alappontszámot fog adni.
Források:
https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2024-23660
https://www.cve.org/CVERecord?id=CVE-2024-23660
https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/
