موسسه ملی استاندارد و فناوری در حال تجزیه و تحلیل نسخه iOS برنامه Trust Wallet برای آسیبپذیری است که به طور بالقوه میتواند برای سرقت وجوه از کیف پولهای رمزنگاری استفاده شود.
این مقاله بر اساس بیانیه Binance به روز شده است تا نشان دهد که Trust Wallet یک نهاد حقوقی جداگانه است که بخشی از گروه Binance نیست و مستقل از Binance.com عمل می کند.
یکی از آژانسهای وزارت بازرگانی ایالات متحده در حال تجزیه و تحلیل نسخه قدیمیتر برنامه Trust Wallet بایننس برای آسیبپذیری است که به مهاجم اجازه میدهد وجوه را از کیف پولهای کریپتو بدزدد.
به گفته موسسه ملی استاندارد و فناوری (NIST) – آژانسی که وظیفه ارتقای نوآوری و رقابت صنعتی ایالات متحده را بر عهده دارد – نسخه خاصی از برنامه Trust Wallet “از کتابخانه trezor-crypto سوء استفاده می کند” تا کلمات یادگاری تولید کند که فقط می توانند با منبع آنتروپی تأیید شوند.
منبع آنتروپی یک مکان فیزیکی است که داده ها از آنجا تولید می شوند. NIST اشاره کرد که آسیب پذیری مشابهی در جولای ۲۰۲۳ مورد سوء استفاده قرار گرفت که منجر به زیان های اقتصادی شد. توضیح داد:
“یک مهاجم می تواند به طور سیستماتیک برای هر مهر زمانی در یک بازه زمانی قابل اجرا، یادگاری ایجاد کند و آنها را به آدرس های کیف پول خاصی پیوند دهد تا وجوه را از آن کیف پول ها سرقت کند.”
این اطلاعات در ۸ فوریه منتشر شد و در حال حاضر در انتظار تجزیه و تحلیل برای تعیین دامنه واقعی آسیب پذیری است.
سخنگوی Trust Wallet تاکید کرد که استفاده از کتابخانه Trezor در سال ۲۰۱۸ شناسایی شد و برای کیف پولهای iOS ایجاد شده بین مارس ۲۰۱۸ و رفع آن در جولای ۲۰۱۸ وجود داشت.
در آن زمان، Trust Wallet یک پروژه منبع باز بود و مشکل وجود داشت. تعداد محدودی از ۱۰۰۰۰ بار دانلود را تحت تأثیر قرار داد. ، بنابراین تمام کدهای متعهد و اصلاحات همیشه عمومی و شفاف هستند.
با توجه به CVE – برنامه ای که توسط وزارت امنیت داخلی ایالات متحده حمایت می شود – آزمایشگاه Secbit شروع به بررسی برنامه Trust Wallet برای iOS پس از هک شدن بسیاری از کیف پول های اتر کرد.
محققان یک ضعف نسل کیف پول قدیمی را در نسخه پلتفرم iOS Trust Wallet از سال ۲۰۱۸ ردیابی کردند و آن را به سرقت های بزرگ در ۱۲ ژوئیه ۲۰۲۳ مرتبط کردند.
سخنگوی Binance توضیح داد که Trust Wallet اکنون یک نهاد حقوقی جداگانه است که بخشی از گروه Binance نیست و مستقل از Binance.com فعالیت می کند.
یک تحقیق مستقل توسط Milk Sad حداقل ۶۵۷۲ یادگار کیف پول منحصر به فرد را پیدا کرد که خطر از دست دادن وجوه را به همراه داشت.
برنامه Trust Wallet برای iOS را با استفاده از یک کد منبع باز برای تولید کیف پولهای ارزهای دیجیتال جدید با استفاده از توابع ناامن در «کتابخانه trezor-crypto» که برای تولید در نظر گرفته نشده بودند، پیدا کرد.
پس از تایید وجود کیف پول های ضعیف، ادعا شد که آنها در سرقت های Milk Sad دست داشته اند.
پس از تکمیل بررسی، NIST یک امتیاز پایه به آسیبپذیری برنامه از ۰ تا ۱۰، بسته به شدت آن، اختصاص میدهد.
همچنین مهم است که توجه داشته باشید که آسیب پذیری در کتابخانه رمزنگاری Trezor یک مشکل خاص Trust Wallet نیست و به طور بالقوه می تواند آسیب پذیر باشد.