USA vyšetruje aplikáciu Trust Wallet pre iOS
15 Feb, 2024 ● Coin novinky
Oddelenie ministerstva obchodu Spojených štátov skúma aplikáciu Binance Trust Wallet kvôli potenciálnej zraniteľnosti, ktorá by mohla útočníkom umožniť krádež finančných prostriedkov v kryptomenách.
Podľa Národného inštitútu pre štandardy a technológie (NIST), ktorý podporuje americké inovácie, konkrétna verzia aplikácie Binance Trust Wallet "zneužíva trezor-kryptografickú knižnicu" na vytváranie mnemotechnických fráz, ktoré sa dajú overiť len v zdroji entropie.
Zdroj entropie je fyzické miesto, kde sa generujú údaje. NIST upozornil na podobnú zraniteľnosť zneužitú v júli 2023, ktorá viedla k finančným stratám. Spresnila:
"Útočník môže systematicky vytvárať mnemotechniky pre každú časovú pečiatku v príslušnom časovom rámci a priradiť ich ku konkrétnym adresám peňaženiek s cieľom odcudziť finančné prostriedky."
Toto odhalenie bolo zverejnené 8. februára a teraz sa skúma, aby sa posúdil skutočný rozsah zraniteľnosti.
Podľa CVE, U.S. Department of Homeland Security sponzorovaného programom, spoločnosť Secbit Labs iniciovala vyšetrovanie aplikácie Binance Trust Wallet pre iOS po tom, čo bolo ohrozených niekoľko peňaženiek Ether.
Vysledovali staršiu chybu generovania peňaženiek vo verzii Trust Wallet pre iOS z roku 2018 a spojili ju s veľkými krádežami 12. júla 2023.
Binance na žiadosť Cointelegraph o komentár nereagovala. Napriek tomu nezávislé vyšetrovanie spoločnosti Milk Sad odhalilo najmenej 6 572 unikátnych mnemotechnických peňaženiek, ktorým hrozila strata finančných prostriedkov.
Zistilo sa, že aplikácia Trust Wallet pre iOS využívala open-source kód na generovanie nových peňaženiek s kryptomenami pomocou nebezpečných funkcií v knižnici "trezor-crypto", ktorá nie je určená na produkciu.
Po potvrdení existencie zraniteľných peňaženiek tvrdila, že sa podieľajú na krádežiach Mliečneho sadu.
Po skončení vyšetrovania NIST pridelí zraniteľnosti aplikácie základné skóre v rozsahu od 0 do 10 podľa jej závažnosti.
Zdroje:
https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2024-23660
https://www.cve.org/CVERecord?id=CVE-2024-23660
https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/