Эксперты: 4 млрд кошельков Trust Wallet Extension можно взломать прямо с ноутбука

• Специалисты WEB3-безопасности давно предупреждали об этой угрозе
• Она связана с технологией PRNG

Сооснователь 1inch Антон Буков расписал реальную опасность в кошельках Trust Wallet Extension. Напомним, что недавно тут обнаружили баг WebAssembly (WASM), который привел к убыткам в $170 000.

На своей странице в Твиттере Буков делится сентябрьским анализом от 1inch. А также обзором специалистов по WEB3-безопасности Тала Бьери и Мэтью Грина. Эксперт приходит к тревожному выводу:

«Все 4 миллиарда потенциальных кошельков можно взломать за несколько минут на среднем ноутбуке»

Итак, основная проблема расширения кошелька Trust Wallet заключается в использовании генератора псевдослучайных чисел (PRNG). Ее использует решение Mersenne Twister (MT19937) для генерации закрытых ключей. Такой генератор не является «достаточно» случайным. Поэтому злоумышленники могут взломать закрытые ключи.

Интересно, что на проблему PRNG указывал кибер-аналитик Мэтью Грин еще в 2021 году. Он назвал этот генератор «ужасающей вещью» от команды Kaspersky:

А вот исследования от еще одного специалиста:

Антон Буков вновь напомнил о сентябрьском расследовании 1inch, когда команда обнаружила уязвимость в генераторе адресов Ethereum Profanity. Детали анализа можно подробно почитать в нашем материале.