V prohlášení z 22. dubna poskytovatel kryptoměnové peněženky Trust Wallet odhalil, že peněženky generované rozšířením prohlížeče mezi 14. – 23. listopadem 2022, byly ovlivněny chybou v zabezpečení. To vedlo ke ztrátě téměř 170 000 USD.
Uživatelé Trust Wallet ztratili kvůli bezpečnostní chybě 170 000 USD
Poskytovatel kryptoměnové peněženky Trust Wallet odhalil bezpečnostní chybu WebAssembly (WASM), která měla za následek několik expoitů a ztráty ve výši téměř 170 000 USD. Podle společnosti byla zranitelnost již opravena.
Projekt podporovaný Binance uvedl, že byl na problém, který vystavil soukromé klíče bezpečnostnímu riziku, poprvé upozorněn loni na podzim. Trust Wallet se o problému dozvěděla prostřednictvím svého bug bounty programu bezpečnostním výzkumníkem, který nahlásil problém v jeho open-source knihovně Wallet Core.
„Trust Wallet je postavena na bezpečnosti a důvěře. Proto sdílíme chybu zabezpečení, která ovlivňuje nové adresy vytvořené ve dnech 14.–23. listopadu 22 pomocí rozšíření prohlížeče.“ uvedla společnost v prohlášení. Poté dodala, že všechny adresy vytvořené před a po těchto datech jsou bezpečné.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
Chyba v bezpečnosti měla za následek dva exploity, které vedly k celkové ztrátě téměř 170 000 USD. Přestože většina ohrožených prostředků uživatelů byla zajištěna, Trust Wallet říká, že prostředky ve výši 88 300 USD jsou stále nechráněné.
Trust Wallet již uvedla, že má úplný seznam všech dotčených zákazníků, z nichž všichni obdrželi od společnosti osobní oznámení. Dotyčným uživatelům je nabídnuta refundace a pomoc s transakčními poplatky potřebnými k pokrytí nákladů na převody prostředků.
„Chceme ujistit uživatele, že uhradíme způsobilé ztráty z hacků v důsledku zranitelnosti a vytvořili jsme proces úhrady pro dotčené uživatele. A vyzvali jsme dotčené uživatele, aby co nejdříve přesunuli zbývajících přibližně 88 000 USD na všech zranitelných adresách.“
Uživatelé, kteří na konci prosince 2022 a na konci března 2023 zaznamenali jakýkoli abnormální pohyb finančních prostředků, mohou být mezi oběťmi bezpečnostní chyby.
Projekt poté upozornil vývojáře, kteří v roce 2022 používali knihovnu Wallet Core, aby implementovali nejnovější verzi Wallet Core.
Exploitů souvisejících s kryptoměnami přibývá
Po klidném začátku roku krypto exploitů v posledních týdnech přibylo. Před několika dny byl odhalen exploit, díky kterému přišlo několik uživatelů od prosince 2022 o téměř 11 milionů dolarů. Bylo ukradeno téměř 5 000 ETH v nezaměnitelných tokenech a kryptoměnách z různých adres napříč 11 blockchainy. Zajímavé na něm je, že cílí na veterány v kryptokomunitě.
For the past 48hrs I've been unwinding a massive wallet draining operation 😳😭
I don't know how big it is but since Dec 2022 it's drained 5000+ ETH and ??? in tokens / NFTs / coins across 11+ chains.
Its rekt my friends & OGs who are reasonably secure.
No one knows how. pic.twitter.com/MafntG7RkP
— Tay 💖 (@tayvano_) April 18, 2023
Útok byl původně připisován zneužití peněženky MetaMask. Toto tvrzení však společnost popírá s tím, že to není exploit specifický pro MetaMask.