Luka w Trust Wallet powoduje 170 000 USD strat

Portfel Trust Wallet poinformował o luce, która wystąpiła w listopadzie 2022 roku. Chodzi o błąd w bibliotece open-source Wallet Core – WebAssembly (WASM). Ofiarami podatności padły portfele, które zostały utworzone między 14 a 23 listopada.

---

1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.

The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87

— Trust Wallet (@TrustWallet) April 22, 2023

Rozszerzenie Trust Wallet Browser Extension wykorzystuje WASM w Wallet Core. W związku z tym adresy, które zostały wygenerowane przez to rozszerzenie, zawierają lukę. Zespół Trust Wallet napisał:

Szybko naprawiliśmy problem, a wszystkie adresy utworzone po tych datach są bezpieczne.

170 000 USD straty

Ale nawet pomimo szybkiej reakcji zespołu, luka spowodowała straty o łącznej wartości około 170 tysięcy dolarów. Póki co, najnowsze wersje aplikacji mobilnej Trust Wallet i rozszerzenia przeglądarki są nadal bezpieczne w użyciu. Klienci, których nie dotyczy problem to ci, którzy:

• Korzystają wyłącznie z aplikacji mobilnej Trust Wallet
• Importowali tylko adresy portfeli do rozszerzenia przeglądarki
• Używali tylko rozszerzenia przeglądarki do utworzenia nowego portfela przed 14 listopada 2023 r. lub po 23 listopada 2022 r.

W oświadczeniu firmy czytamy:

Jeśli Twoje adresy portfeli są podatne na atak, zobaczysz powiadomienie w rozszerzeniu przeglądarki. Jeśli pojawi się taki komunikat, powinieneś natychmiast utworzyć nowy adres portfela i przenieść swoje aktywa, a także przestać używać podatnych adresów. Pracujemy ciężko, aby zweryfikować własność tych adresów i zwrócimy każdemu poszkodowanemu pieniądze. Mamy dokładną listę wszystkich dotkniętych portfeli.