ZDA preiskujejo aplikacijo Trust Wallet za iOS
15 Feb, 2024 ● Novice o kovancih
Oddelek ameriškega ministrstva za trgovino preučuje aplikacijo Binance Trust Wallet zaradi morebitne ranljivosti, ki bi lahko napadalcem omogočila krajo sredstev v kriptovalutah.
Po mnenju Nacionalnega inštituta za standarde in tehnologijo (NIST), ki spodbuja ameriške inovacije, določena različica aplikacije Binance Trust Wallet "zlorablja knjižnico trezor-crypto" za ustvarjanje mnemotehničnih fraz, ki jih je mogoče overiti le pri viru entropije.
Izvir entropije je fizična lokacija, kjer se generirajo podatki. NIST je izpostavil podobno ranljivost, ki je bila izkoriščena julija 2023 in je povzročila finančne izgube. V poročilu je podrobneje opisano:
"Napadalec lahko sistematično ustvari mnemotehnike za vsak časovni žig v ustreznem časovnem okviru in jih poveže z določenimi naslovi denarnic ter tako odtuji sredstva."
To razkritje je bilo objavljeno 8. februarja in je zdaj pod drobnogledom, da bi ocenili dejanski obseg ranljivosti.
Po podatkih podjetja CVE, U.US Department of Homeland Security, ki ga sponzorira ministrstvo za domovinsko varnost, je podjetje Secbit Labs začelo preiskavo aplikacije Binance Trust Wallet za iOS, potem ko je bilo ogroženih več denarnic Ether.
V različici Trust Wallet za iOS iz leta 2018 so izsledili napako v starejši generaciji denarnic in jo povezali z večjo krajo 12. julija 2023.
Binance se ni odzval na zahtevo za komentar podjetja Cointelegraph. Kljub temu je neodvisna preiskava podjetja Milk Sad razkrila vsaj 6.572 edinstvenih denarnic, ki jim grozi izguba sredstev.
Ugotovila je, da je aplikacija Trust Wallet za iOS uporabljala odprtokodno kodo za generiranje novih denarnic za kriptovalute z uporabo nevarnih funkcij v "knjižnici trezor-crypto", ki ni namenjena za produkcijo.
Po potrditvi obstoja ranljivih denarnic je domnevala njihovo vpletenost v kraje v mlečnem sadu.
Po končani preiskavi bo NIST ranljivosti aplikacije glede na njeno resnost dodelil osnovno oceno od 0 do 10.
Zdroji:
https://cointelegraph.com/news/us-binance-trust-wallet-ios-vulnerability
https://nvd.nist.gov/vuln/detail/CVE-2024-23660
https://www.cve.org/CVERecord?id=CVE-2024-23660
https://secbit.io/blog/en/2024/01/19/trust-wallets-fomo3d-summer-vuln/