Експерти: 4 млрд гаманців Trust Wallet Extension можна зламати просто з ноутбука

• Фахівці WEB3-безпеки давно попереджали про цю загрозу
• Вона пов’язана з технологією PRNG

Співзасновник 1inch Антон Буков розписав реальну небезпеку в гаманцях Trust Wallet Extension. Нагадаємо, що нещодавно тут виявили баг WebAssembly (WASM), який призвів до збитків у $170 000.

На своїй сторінці у Твіттері Буков ділиться вересневим аналізом від 1inch. А також оглядом фахівців з WEB3-безпеки Тала Б’єрі та Метью Гріна. Експерт доходить тривожного висновку:

«Усі 4 мільярди потенційних гаманців можна зламати за кілька хвилин на середньому ноутбуці»

Отже, основна проблема розширення гаманця Trust Wallet полягає у використанні генератора псевдовипадкових чисел (PRNG). Її використовує рішення Mersenne Twister (MT19937) для генерації закритих ключів. Такий генератор не є «достатньо» випадковим. Тому зловмисники можуть зламати закриті ключі.

Цікаво, що на проблему PRNG вказував кібераналітик Метью Грін ще 2021 року. Він назвав цей генератор «жахливою річчю» від команди Kaspersky:

А ось дослідження від ще одного фахівця:

Антон Буков знову нагадав про вересневе розслідування 1inch, коли команда виявила вразливість у генераторі адрес Ethereum Profanity. Деталі аналізу можна детально почитати в нашому матеріалі.