EUA investigam a aplicação Trust Wallet para iOS
15 Feb, 2024 ● Notícias sobre moedas

Uma divisão do Departamento de Comércio dos Estados Unidos está examinando o aplicativo Binance Trust Wallet em busca de uma vulnerabilidade potencial que poderia permitir que invasores roubassem fundos de criptomoeda.
De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), que promove a inovação americana, uma versão específica do aplicativo Binance Trust Wallet "usa indevidamente a biblioteca trezor-crypto" para criar frases mnemônicas que só podem ser autenticadas na fonte de entropia.
Uma fonte de entropia é um local físico onde os dados são gerados. O NIST destacou uma vulnerabilidade semelhante explorada em julho de 2023, resultando em perdas financeiras. Ele elaborou:
"Um invasor pode criar sistematicamente mnemônicos para cada carimbo de data / hora dentro de um período de tempo relevante e associá-los a endereços de carteira específicos para roubar fundos."
Esta divulgação foi tornada pública a 8 de fevereiro e está agora a ser analisada para avaliar a extensão real da vulnerabilidade.
De acordo com a CVE, uma organização do Departamento de Segurança Interna dos EUA, a CVE é uma das principais organizações de segurança dos EUA.De acordo com o programa patrocinado pelo Departamento de Segurança Interna dos EUA, o Secbit Labs iniciou uma investigação sobre o aplicativo Binance Trust Wallet para iOS depois que várias carteiras Ether foram comprometidas.
Eles rastrearam uma falha de geração de carteira mais antiga na versão iOS da Trust Wallet de 2018 e a vincularam aos principais roubos em 12 de julho de 2023.
Binance não respondeu ao pedido de comentário da Cointelegraph. No entanto, uma investigação independente da Milk Sad descobriu pelo menos 6.572 mnemônicos de carteira exclusivos em risco de perda de fundos.
Descobriu que o aplicativo Trust Wallet para iOS utilizava código-fonte aberto para gerar novas carteiras de criptomoedas usando funções inseguras na "biblioteca trezor-crypto", não destinada à produção.
Ao confirmar a existência de carteiras vulneráveis, alegou seu envolvimento nos roubos do Milk Sad.
Após a investigação, o NIST atribuirá uma pontuação básica à vulnerabilidade do aplicativo, variando de 0 a 10, com base em sua gravidade.
Fontes:
https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2024-23660
https://www.cve.org/CVERecord?id=CVE-2024-23660
https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/