Власти США обнаружили потенциальную уязвимость в приложении Binance Trust Wallet для iOS

• На сайте NIST появилось упоминание об уязвимости в iOS-версии приложения Binance Trust Wallet. 
• Эксперты утверждают, что программа использует «слабый» ГПСЧ, что упрощает взлом кошельков. 
• Обращение находится на этапе рассмотрения. 

На сайте Национального института стандартов и технологий (NIST) появилась запись о потенциальной уязвимости в приложении Binance Trust Wallet для устройств на базе iOS. Эксперты отметили, что она может представлять угрозу для владельцев кошельков. 

В качестве источника, который уведомил агентство об уязвимости, указана некоммерческая структура Mitre Corporation. Обращение находится на этапе рассмотрения. 

В заметке указано, что приложение Binance Trust Wallet неправильно использует библиотеку trezor-crypto. В результате, как отметили эксперты, единственным полем данных для генерации мнемонических фраз является время устройства. 

Это, в свою очередь, продуцирует «лазейку», посредством которой злоумышленник может создать мнемоники для каждой временной метки в указанный период, связав их с конкретными адресами, говорится в записи. 

Примечательно, в конце января 2024 года эксперты Milk Sad со ссылкой на SECBIT Labs опубликовали отчет, в котором подробно освещается эта уязвимость. Они также связали ее с взломами в июле 2023 года. 

Из-за этого сбоя приложение использует «слабый» генератор псевдослучайных чисел (ГПСЧ) с 31-битным начальным состоянием, объяснили эксперты. Это существенно упрощает взлом, считают они. 

Incrypted запросил комментарии у Trust Wallet и Binance, но не получил оперативный ответ. Мы обновим новость, когда и если получим информацию.

Апдейт: CEO Trust Wallet Эовин Чен прокомментировала ситуацию. По ее словам, пользователи кошелька на iOS полностью в безопасности, как и их средства. 

Она опровергла тот факт, что приложение было причиной указанных взломов в июле 2023 года. Команда проекта опубликует официальный ответ в ближайшее время, добавила она.

Апдейт 2: команда проекта Trust Wallet заявила, что уязвимость затронула только около 10 000 загрузок клиента в период с марта по июль 2018 года. Проблему устранили, а всех пострадавших пользователей — уведомили. 

Тут опровергли информацию о расследовании, также подчеркнув, что все средства в полной безопасности.

Ранее мы сообщали о том, что биткоин-NFT внесли в Национальную базу данных уязвимостей США. До этого член команды Bitcoin Core Люк Дашжр заявил, что «надписи» эксплуатируют уязвимость в блокчейне.