Агентство Министерства торговли США анализирует «приложение Binance Trust Wallet» на наличие уязвимости, которая может позволить злоумышленнику украсть средства из криптокошельков.
По данным Национального института стандартов и технологий, которому поручено продвигать инновации и промышленную конкурентоспособность США, конкретная версия приложения Trust Wallet «неправильно использует библиотеку трезор-крипто» для генерации мнемонических слов, которые можно проверить только на источник энтропии.
Источник энтропии — это физическое место, из которого генерируются данные. В институте отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к финансовым потерям:
Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков.
В настоящее время проводится анализ для определения реальных масштабов уязвимости.
Приложение Trust Wallet для iOS находится под следствием на предмет уязвимости
Комментируя расследование, представитель Binance пояснил, что теперь Trust Wallet принадлежит отдельному юридическому лицу, которое не входит в группу Binance и действует независимо от Binance.com.
По завершении расследования Национальный институт стандартов и технологий присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от её серьезности.
