Агентство Міністерства торгівлі США (DOC) аналізує додаток Binance Trust Wallet на предмет уразливості, яка потенційно може дозволити зловмиснику викрасти кошти з гаманців криптовалюти.
За даними Національного інституту стандартів і технологій (NIST), агентства DOC, яке займається просуванням американських інновацій і промислової конкурентоспроможності, певна версія додатка Binance Trust Wallet «зловживає Library trezor-криптовалюти» для створення мнемонічних слів, які можна перевірити.тільки в джерелі ентропії.
Джерело ентропії – це фізичне розташування, звідки генеруються дані. NIST зазначив, що подібна вразливість була використана в липні 2023 року, що призвело до економічних втрат. Це пояснило:
«Зловмисник може систематично генерувати мнемоніки для кожної мітки часу протягом відповідного періоду часу та пов’язувати їх із конкретними адресами гаманців, щоб викрасти кошти з цих гаманців».
Інформація була оприлюднена 8 лютого і наразі очікує аналізу для визначення реального масштабу зазначеної вразливості.
Згідно з CVE, програмою, спонсорованою Міністерством внутрішньої безпеки США (DHS), SECBIT Labs розпочала розслідування програми Binance Trust Wallet для iOS після того, як численні гаманці Ether (ETH) були зламані. Дослідники відстежили стару слабкість створення гаманців у версії Trust Wallet для платформи iOS від 2018 року та пов’язали її з великими крадіжками 12 липня 2023 року.
За темою: написи біткойн додано до національної бази даних про вразливості США
Binance не відповіла на запит Cointelegraph про коментарі. Однак незалежне розслідування від Milk Sad виявило принаймні 6572 унікальні мнемоніки гаманця, які ризикують втратою коштів.
Було виявлено, що програма Trust Wallet для iOS використовує код з відкритим вихідним кодом для генерації нових криптовалютних гаманців за допомогою небезпечних функцій у «trezor-cryptocurrency Library», які не призначені для виробництва. Підтверджуючи наявність слабких гаманців, вони стверджували про його причетність до крадіжок Milk Sad.
Після завершення розслідування NIST призначить базову оцінку вразливості програми в діапазоні від 0 до 10, залежно від її серйозності.