Влада США виявила потенційну вразливість у додатку Binance Trust Wallet для iOS

• На сайті NIST з’явилася згадка про вразливість в iOS-версії програми Binance Trust Wallet.
• Експерти стверджують, що програма використовує «слабкий» ГПСЧ, що спрощує злом гаманців.
• Звернення перебуває на етапі розгляду.

На сайті Національного інституту стандартів і технологій (NIST) з’явився запис про потенційну вразливість у застосунку Binance Trust Wallet для пристроїв на базі iOS. Експерти зазначили, що вона може становити загрозу для власників гаманців.

Як джерело, яке повідомило агентство про вразливість, вказано некомерційну структуру Mitre Corporation. Звернення перебуває на етапі розгляду.

У замітці зазначено, що застосунок Binance Trust Wallet неправильно використовує бібліотеку trezor-crypto. У результаті, як зазначили експерти, єдиним полем даних для генерації мнемонічних фраз є час пристрою.

Це, зі свого боку, продукує «лазівку», за допомогою якої зловмисник може створити мнемоніки для кожної часової мітки в зазначений період, пов’язавши їх із конкретними адресами, ідеться в записі.

Примітно, наприкінці січня 2024 року експерти Milk Sad із посиланням на SECBIT Labs опублікували звіт, у якому детально висвітлюється ця вразливість. Вони також пов’язали її зі зламами в липні 2023 року.

Через цей збій застосунок використовує «слабкий» генератор псевдовипадкових чисел (ГВВЧ) із 31-бітовим початковим станом, пояснили експерти. Це істотно спрощує злом, вважають вони.

Incrypted запросив коментарі у Trust Wallet і Binance, але не отримав оперативної відповіді. Ми оновимо новину, коли і якщо отримаємо інформацію.

Апдейт: CEO Trust Wallet Еовін Чен прокоментувала ситуацію. За її словами, користувачі гаманця на iOS повністю в безпеці, як і їхні кошти.

Вона спростувала той факт, що застосунок був причиною зазначених зломів у липні 2023 року. Команда проєкту опублікує офіційну відповідь найближчим часом, додала вона.

Апдейт 2: команда проєкту Trust Wallet заявила, що вразливість зачепила тільки близько 10 000 завантажень клієнта в період з березня по липень 2018 року. Проблему усунули, а всіх постраждалих користувачів — застерегли.

Тут спростували інформацію про розслідування, також підкресливши, що всі кошти в цілковитій безпеці.

Раніше ми повідомляли про те, що біткоїн-NFT внесли до Національної бази даних вразливостей США. До цього член команди Bitcoin Core Люк Дашжр заявив, що «написи» експлуатують вразливість у блокчейні.