Старая уязвимость Trust Wallet в iOS с 2018 года все еще представляет опасность для некоторых аккаунтов

Уязвимость в приложении Trust Wallet для iOS, датируемая 2018 годом, все еще может представлять опасность для некоторых учетных записей пользователей, сообщает исследовательская компания SECBIT Labs, занимающаяся вопросами кибербезопасности. Уязвимость, которая присутствовала в аккаунтах Trust Wallet, созданных с 5 февраля по 21 августа 2018 года на iOS-устройствах, потенциально может быть использована злоумышленниками.

Уязвимость и ее последствия

Рассматриваемая уязвимость была вызвана двумя функциями, а именно «random32()» и «random_buffer()», которые были включены в приложение Trust Wallet для iPhone. Эти функции предназначались только для тестирования и не должны были использоваться в производственной среде. Однако из-за ошибки Trust Wallet непреднамеренно включил эти функции в свое приложение, сделав его уязвимым для атак.
Использование уязвимости позволяло злоумышленникам узнать приватные ключи некоторых пользователей и похитить их средства. Хотя Trust Wallet утверждает, что исправил уязвимость в июле 2018 года, есть опасения, что некоторые пользователи все еще могут быть подвержены риску, если они создали свои аккаунты в течение затронутого периода времени.

Выводы SECBIT Labs

SECBIT Labs обнаружила уязвимость в ходе расследования широкомасштабной атаки на криптовалютные кошельки, произошедшей 12 июля 2023 года. В ходе расследования они обнаружили, что значительное количество пострадавших кошельков получили средства в период с июля по август 2018 года. Это позволило им заподозрить, что причиной атаки мог стать изъян в коде Trust Wallet.
После дальнейшего анализа кода Trust Wallet, опубликованного в этот период, SECBIT Labs обнаружила, что версии приложения для iOS использовали уязвимые функции из криптовалютной iOS-библиотеки Trezor для генерации мнемонических фраз. Эти функции содержали предупреждения о недопустимости их использования в производственных приложениях, поскольку они не были достаточно случайными. В результате любая учетная запись Trust Wallet, созданная на iOS-устройстве в этот период времени, могла подвергнуться риску.

Ответ Trust Wallet

В ответ на заявления SECBIT Labs компания Trust Wallet 15 февраля 2023 года выпустила заявление, в котором утверждает, что уязвимость затронула лишь небольшое количество пользователей, которые были оперативно уведомлены и переведены на безопасные кошельки. Trust Wallet утверждает, что текущая версия его приложения безопасна для использования, а средства пользователей надежно защищены.
Trust Wallet также подчеркнул, что предпринял активные шаги по информированию пострадавших пользователей и предоставил им безопасный способ миграции. Они оспаривают утверждение SECBIT Labs о том, что большое количество взломанных адресов было сгенерировано их приложением, заявляя, что лишь часть адресов принадлежала пользователям Trust Wallet.

Рекомендации для пользователей

Несмотря на усилия Trust Wallet по устранению уязвимости, SECBIT Labs советует пользователям, создавшим аккаунты в затронутый период времени, перейти на новые кошельки и отказаться от использования старых. Пользователям крайне важно знать о проблеме и принять необходимые меры предосторожности, чтобы предотвратить возможную потерю средств.
SECBIT Labs также подчеркивает важность безопасности в более широкой криптовалютной экосистеме. Хотя Trust Wallet может быть не единственным проектом, пострадавшим от подобных уязвимостей, они призывают разработчиков проявлять осторожность и проводить тщательное тестирование, чтобы гарантировать целостность и безопасность своих приложений.

Заключение

Старая уязвимость Trust Wallet в iOS с 2018 года продолжает представлять опасность для некоторых учетных записей пользователей. Хотя Trust Wallet предпринял шаги по устранению проблемы, пользователям, создавшим аккаунты в период с февраля по август 2018 года, следует проявить бдительность и рассмотреть возможность перехода на новые кошельки, чтобы снизить возможные риски. Этот инцидент служит напоминанием о важности надежных методов обеспечения безопасности в криптовалютном пространстве и подчеркивает необходимость для пользователей оставаться в курсе событий и принимать упреждающие меры для защиты своих активов.