Trust Wallet遭爆「私鑰漏洞」已被駭17萬鎂!官方 : 將賠償受害者

發表於 2023-04-23 11:00 作者: 區塊鏈情報速遞pro

被幣安在 2018 年收購的多鏈自托管加密資產錢包 Trust Wallet 今日披露,Trust Wallet 開源庫因存在 WASM 漏洞,導致在去年 11 月 14 日至 23 日期間透過錢包瀏覽器擴充功能生成的新錢包地址,存在被盜風險,估計損失約有 17 萬美元,但 Trust Wallet 承諾將賠償用戶損失。 (前情提要:分布式資本沈波:4,200萬鎂的Trust Wallet錢包被盜;疑私鑰外洩) (背景補充:CZ加持!Trust Wallet推瀏覽器擴充暴漲83%,突破2.7鎂、創歷史新高)

 

獲得幣安創辦人趙長鵬(CZ)親自加持的 Trust Wallet 在今日發布公告披露,在去年 11 月,有一名安全研究人員藉由漏洞賞金計劃,報告 Trust Wallet 開源庫 Wallet Core 中存在 WebAssembly(WASM)漏洞。

1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.

The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87

— Trust Wallet (@TrustWallet) April 22, 2023

該公告提到, Trust Wallet 瀏覽器擴充功能在 Wallet Core 中使用 WASM,在去年 11 月 14 日至 23 日期間,透過瀏覽器擴充功能生成的新錢包地址存在此漏洞,不過 Trust Wallet 已迅速修復漏洞,在這些日期之後生成的地址都是安全的。

然而,Trust Wallet 仍發現兩個潛在漏洞,導致在攻擊發生時,造成約 17 萬美元損失。

對此,Trust Wallet 承諾,將補償因漏洞造成的駭客攻擊損失,為受害用戶建立補償程序,該公告還呼籲受影響用戶盡快轉移所有易受攻擊地址上剩餘的約 8.8 萬美元資金。

如何檢查是否受漏洞影響?

該公告提到,在以下情況下,用戶的錢包地址不會受此漏洞影響:

  • 只使用 Trust Wallet 手機 app
  • 只將錢包地址匯入瀏覽器擴充功能
  • 只是在 2022 年 11 月 14 日之前、或 2022 年 11 月 23 日之後使用瀏覽器擴充功能建立新錢包的用戶

如果用戶的錢包為易受攻擊地址,用戶將在瀏覽器擴充功能上看到警示通知,建議應創建一個新錢包地址、移動資產,停止使用易受攻擊地址,請避免使用不是用戶自己所創建的錢包地址,以免被騙子利用。

若為易受攻擊地址,將看到警示通知。Source:Trust Wallet

另外,需注意的是,在 2022 年 12 月下旬和 2023 年 3 月下旬發現錢包存在異常資金流動的用戶,可能是遭受上述提及的兩個潛在漏洞攻擊的少數受害者之一,Trust Wallet 將向每個受害者償還資金,該團隊有所有受影響錢包的確切清單。

慢霧:漏洞致錢包私鑰有被破解風險

慢霧創辦人餘弦發推提醒,如果用了 Trust Wallet 瀏覽器擴充功能,且在 2022 年 11 月 14 日至 23 日期間創建錢包,那麼該錢包就存在風險,本質原因是當時 Trust Wallet 瀏覽器擴充功能使用的 MT19937 偽隨機數生成器,沒有提供足夠的隨機性,導致私鑰可以被破解,目前 Trust Wallet 已披露該風險,所幸損失小。

?相關報導?

幣安(Binance)收購的錢包 Trust Wallet 讓用戶「錢包內」使用 Binance DEX

Metamask驚傳「大量錢包超 5000 ETH」遭駭!官方急駁不安全謠言

注意!誤存幣安「舊錢包地址」不會到帳,3步驟教你取回代幣

Tags: Trust Wallet幣安漏洞駭客攻擊

標題:Trust Wallet遭爆「私鑰漏洞」已被駭17萬鎂!官方 : 將賠償受害者

地址:https://www.coinsdeep.com/article/12658.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊