В приложении Trust Wallet для iOS обнаружили уязвимость
Национальный институт стандартов и технологий США исследует принадлежащее Binance приложение Trust Wallet для iOS на предмет уязвимости.
Согласно описанию, ПО кошелька неправильно использует библиотеку trezor-crypto. В результате этого единственным источником энтропии для генерации мнемонических фраз является время устройства.
Баг открывает возможность для эксплойтов Trust Wallet. Злоумышленник может систематически создавать мнемоники для каждой временной метки и связывать их с конкретными адресами для кражи средств.
Поданная некоммерческой организацией MITRE Corporation заявка имеет статус ожидающей анализа. К ней приложены ссылки на соответствующие исследования уязвимости специалистами проектов Milk Sad и SECBIT Labs. Результаты были опубликованы в январе.
Эксперты обнаружили по меньшей мере 6500 подверженных риску кошельков. По их данным, уже реализованные эксплойты привели к потере почти 33 BTC только в трех крупнейших инцидентах в июле 2023 года.
Binance приобрела провайдера Trust Wallet в летом 2018 года. Мобильное приложение специализировалось преимущественно на Ethereum-активах и только к концу года команда добавила поддержку биткоина.
Первой десктопной версией кошелька стало решение для устройств на macOS в 2019 году.
Напомним, в апреле 2023 года разработчики сообщили об устранении критической уязвимости в основной программной библиотеке браузерного приложения Trust Wallet.