Агентство Министерства торговли США (DOC) анализирует приложение Binance Trust Wallet на предмет уязвимости, которая потенциально может позволить злоумышленнику украсть средства из криптовалютных кошельков.
По данным Национального института стандартов и технологий (NIST), агентства DOC, которому поручено продвигать американские инновации и промышленную конкурентоспособность, конкретная версия приложения Binance Trust Wallet «неправильно использует Library трезор-криптовалюты» для генерации мнемонических слов, которые можно проверить.только в источнике энтропии.
Источник энтропии — это физическое место, из которого генерируются данные. В NIST отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям. Это объяснило:
«Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков».
Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реального масштаба указанной уязвимости.
По данным CVE, программы, спонсируемой Министерством внутренней безопасности США (DHS), SECBIT Labs начала расследование в отношении приложения Binance Trust Wallet для iOS после взлома многочисленных кошельков Ether (ETH). Исследователи отследили уязвимость старого поколения кошельков в версии Trust Wallet для платформы iOS с 2018 года и связали ее с крупными кражами, произошедшими 12 июля 2023 года.
Связанный: Надписи Биткоин добавлены в Национальную базу данных уязвимостей США
Binance не ответила на запрос Cointelegraph о комментариях. Однако независимое расследование Milk Sad выявило как минимум 6572 уникальных мнемоники кошельков, которые могут привести к потере средств.
Было обнаружено приложение Trust Wallet для iOS, использующее открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в «trezor-cryptocurrency Library», которые не предназначались для производства. Подтвердив существование слабых кошельков, они заявили о своей причастности к кражам Milk Sad.
По завершении расследования NIST присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от ее серьезности.