США исследуют приложение Binance Trust Wallet для iOS на предмет уязвимости

Агентство Министерства торговли США (DOC) анализирует приложение Binance Trust Wallet на предмет уязвимости, которая потенциально может позволить злоумышленнику украсть средства из криптовалютных кошельков.

По данным Национального института стандартов и технологий (NIST), агентства DOC, которому поручено продвигать американские инновации и промышленную конкурентоспособность, конкретная версия приложения Binance Trust Wallet «неправильно использует Library трезор-криптовалюты» для генерации мнемонических слов, которые можно проверить.только в источнике энтропии.

Источник энтропии — это физическое место, из которого генерируются данные. В NIST отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к экономическим потерям. Это объяснило:

«Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков».

Информация была обнародована 8 февраля и в настоящее время ожидает анализа для определения реального масштаба указанной уязвимости.

По данным CVE, программы, спонсируемой Министерством внутренней безопасности США (DHS), SECBIT Labs начала расследование в отношении приложения Binance Trust Wallet для iOS после взлома многочисленных кошельков Ether (ETH). Исследователи отследили уязвимость старого поколения кошельков в версии Trust Wallet для платформы iOS с 2018 года и связали ее с крупными кражами, произошедшими 12 июля 2023 года.

Связанный: Надписи Биткоин добавлены в Национальную базу данных уязвимостей США

Binance не ответила на запрос Cointelegraph о комментариях. Однако независимое расследование Milk Sad выявило как минимум 6572 уникальных мнемоники кошельков, которые могут привести к потере средств.

Было обнаружено приложение Trust Wallet для iOS, использующее открытый исходный код для создания новых криптовалютных кошельков с использованием небезопасных функций в «trezor-cryptocurrency Library», которые не предназначались для производства. Подтвердив существование слабых кошельков, они заявили о своей причастности к кражам Milk Sad.

По завершении расследования NIST присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от ее серьезности.