Криптовалютный кошелек Trust Wallet обнаружил уязвимость в системе безопасности, из-за которой некоторые пользователи потеряли почти 170 000 человек. По данным компании, уязвимость была устранена.
Trust Wallet узнал о проблеме через свою программу вознаграждения за обнаружение ошибок. Исследователь безопасности сообщил об уязвимости WebAssembly (WASM) в ядре кошелька Library с открытым исходным кодом в ноябре 2022 года. Новые адреса кошельков, сгенерированные «в период с 14 по 23 ноября 2022 года расширением браузера, содержат эту уязвимость», — говорится в заявлении компании.что все адреса, созданные до и после этих дат, безопасны.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
Нарушение привело к двум эксплойтам, которые привели к общей потере почти 170 000 долларов. Согласно отчету о вскрытии, около 500 уязвимых адресов остаются с балансом в 88 000 долларов. Пострадавшим пользователям будет предложено возмещение и помощь в оплате газа для покрытия расходов на перевод средств. Согласно Trust Wallet:
«Мы хотим заверить пользователей, что возместим соответствующие убытки от взлома из-за уязвимости, и создали процесс возмещения для пострадавших пользователей. И мы настоятельно призвали пострадавших пользователей перевести оставшийся баланс в размере около 88 000 долларов США на все уязвимые адреса как можно скорее. возможный.”
Пользователи, которые столкнулись с аномальным движением средств в конце декабря 2022 г. и в конце марта 2023 г., могут быть среди жертв, пострадавших от двух эксплойтов.
Компания призвала пострадавших клиентов создать новый кошелек и перевести средства. Пользователи с уязвимыми адресами будут уведомлены через расширение браузера Trust Wallet, говорится в сообщении компании. Для разработчиков, которые использовали Wallet Core Library в 2022 году, должна быть реализована последняя версия. Затронутые адреса кошельков от Binance ранее были уведомлены через биржу криптовалют.
Другой недавно обнародованный эксплойт с декабря прошлого года истощил почти 11 миллионов долларов в невзаимозаменяемых токенах (NFT) и криптовалютах с различных адресов в 11 блокчейнах, нацеленных на ветеранов криптовалютного сообщества. Первоначально атака была приписана эксплойту в кошельке MetaMask, который позже был опровергнут компанией.
