Криптовалютний гаманець Trust Wallet виявив уразливість у безпеці, яка призвела до втрат майже 170 000 користувачів. За словами компанії, вразливість усунуто.
Trust Wallet дізнався про проблему через свою програму винагород за помилки. Дослідник безпеки повідомив про вразливість WebAssembly (WASM) у Library Wallet Core з відкритим кодом у листопаді 2022 року. Нові адреси гаманців, згенеровані «між 14 і 23 листопада 2022 року за допомогою Browser Extension, містять цю вразливість», — йдеться в заяві компанії та додається.що всі адреси, створені до та після цих дат, безпечні.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
Порушення призвело до двох експлойтів, які призвели до загальної втрати майже 170 000 доларів США. Згідно з аналітичним звітом, приблизно 500 вразливих адрес залишаються на балансі 88 000 доларів США. Постраждалим користувачам буде запропоновано відшкодування та допомогу в оплаті газу для покриття витрат на переказ коштів. За даними Trust Wallet:
«Ми хочемо запевнити користувачів, що ми відшкодуємо відповідні збитки від злому через уразливість, і створили процес відшкодування для постраждалих користувачів. І ми закликали постраждалих користувачів якнайшвидше перерахувати решту ~88 000 доларів США на всі вразливі адреси. можливо».
Користувачі, які зіткнулися з ненормальним рухом коштів наприкінці грудня 2022 року та наприкінці березня 2023 року, можуть бути серед жертв двох експлойтів.
Компанія закликала постраждалих клієнтів створити новий гаманець і переказати кошти. Користувачі з уразливими адресами будуть сповіщені через розширення браузера Trust Wallet, заявили в компанії. Для розробників, які використовували Wallet Core Library у 2022 році, слід запровадити останню версію. Постраждалі адреси гаманців від Binance були раніше повідомлені через біржу криптовалют.
Ще один нещодавно оприлюднений експлойт з грудня минулого року вивів майже 11 мільйонів доларів у незамінних токенах (NFT) і криптовалютах з різних адрес у 11 блокчейнах, націлившись на ветеранів у спільноті криптовалют. Спочатку атаку приписували експлойту в гаманці MetaMask, але пізніше компанія спростувала це.
