Национальный институт стандартов и технологий на своем сайте опубликовал информацию о потенциальной уязвимости для устройств на базе IOS в приложении Binance Trust Wallet. Специалисты отметили, что это может представлять угрозу для владельцев кошельков.
Источником информации, которое сообщило агентству об уязвимости, является некоммерческая структура Mitre Corporation. В настоящее время обращение находится на рассмотрении.
В своем примечании Mitre Corporation указали, что приложение Binance Trust Wallet некорректно использует библиотеку trezor-crypto. Как отметили эксперты, единственным полем данных для генерации мнемонистических фраз является время устройства.
Это, в свою очередь, показывает «щель», по которой хакер может создать мнемоники для каждой временной метки в определенный период. Для этого нужно только связать их с конкретными адресами, говорится в записи.
Интересно еще то, что в конце января 2024 года эксперты Milk Sad со ссылкой на SECBIT Labs опубликовали отчет, в котором подробно рассказали об этой же уязвимости. Они связали ее со взломами в июле 2023 года.
Из-за этого сбоя приложение Trust Wallet использует «слабый» генератор псевдослучайных чисел (ГПСЧ) с 31-битным начальным состоянием, — объяснили специалисты Milk Sad. По их мнению, это существенно облегчает взлом.
Ответы, которые предоставили представители компании:
По словам CEO Trust Wallet, Эовин Чен пользователи кошелька и их средства на IOS в полной безопасности. Она отрицала тот факт, что приложение было причиной указанных взломов в июле 2023 года.
Команда Trust Wallet, в свою очередь, также опровергла информацию о расследовании. Кроме того, они объяснили, что уязвимость была всего в 10 000 загрузок клиентов с марта по июль 2018 года. Специалисты устранили проблему и предупредили всех пострадавших пользователей.