Експерти: 4 млрд гаманців Trust Wallet Extension можна зламати просто з ноутбука
- Фахівці WEB3-безпеки давно попереджали про цю загрозу
- Вона пов’язана з технологією PRNG
Співзасновник 1inch Антон Буков розписав реальну небезпеку в гаманцях Trust Wallet Extension. Нагадаємо, що нещодавно тут виявили баг WebAssembly (WASM), який призвів до збитків у $170 000.
На своїй сторінці у Твіттері Буков ділиться вересневим аналізом від 1inch. А також оглядом фахівців з WEB3-безпеки Тала Б’єрі та Метью Гріна. Експерт доходить тривожного висновку:
«Усі 4 мільярди потенційних гаманців можна зламати за кілька хвилин на середньому ноутбуці»
Отже, основна проблема розширення гаманця Trust Wallet полягає у використанні генератора псевдовипадкових чисел (PRNG). Її використовує рішення Mersenne Twister (MT19937) для генерації закритих ключів. Такий генератор не є «достатньо» випадковим. Тому зловмисники можуть зламати закриті ключі.
Цікаво, що на проблему PRNG вказував кібераналітик Метью Грін ще 2021 року. Він назвав цей генератор «жахливою річчю» від команди Kaspersky:
А ось дослідження від ще одного фахівця:
Антон Буков знову нагадав про вересневе розслідування 1inch, коли команда виявила вразливість у генераторі адрес Ethereum Profanity. Деталі аналізу можна детально почитати в нашому матеріалі.
Буде цікаво
