SECBIT Labs تكشف عن ثغرة أمنية مستمرة في تطبيق iOS الخاص بمحفظة الثقة
Summary:
اكتشفت SECBIT Labs ثغرة أمنية عالقة في تطبيق iOS الخاص ب Trust Wallet ، ومن المحتمل أن يكون الأفراد المؤثرون الذين أنشأوا حسابات من 5 فبراير إلى 21 أغسطس 2018. تم تقديم الخلل من خلال وظيفتي اختبار تم دمجهما عن غير قصد في برنامج محفظة iPhone الخاص بها ، مما يمكن الجهات الفاعلة السيئة من فك تشفير المفاتيح الخاصة وسرقة الأصول. على الرغم من تأكيد Trust Wallet لإصلاح الخلل ، تؤكد SECBIT أن الخطأ قد لا يزال يؤثر على بعض المستخدمين.
يمكن أن يؤثر الخلل الأمني المستمر في تطبيق iOS الخاص ب Trust Wallet على المستخدمين ، بما في ذلك أولئك الذين لم يعودوا يستخدمون النظام الأساسي ، كما أفاد خبراء الإنترنت في SECBIT Labs. كانت الثغرة الأمنية نشطة من 5 فبراير إلى 21 أغسطس 2018 ، مما أثر على الحسابات التي تم إنشاؤها خلال هذه النافذة. لا يزال العديد من المستخدمين غافلين عن الخطأ وربما لا يزالون يعملون مع محافظ مخترقة.
تم تقديم الخلل عن غير قصد من خلال وظيفتي اختبار تم استدعاؤهما بواسطة Trust Wallet من خلال مكتبة Trezor ، كما لاحظت SECBIT. تم دمج هذه الوظائف عن طريق الخطأ في برنامج محفظة iPhone ، مما قد يمكن الجهات الفاعلة الشائنة من فك تشفير المفاتيح الخاصة للمستخدمين وسرقة أصولهم. وحذرت SECBIT من أن الحسابات المرتبطة بهذه المواقف لا تزال مكشوفة.
أوضحت SECBIT أن هذه الثغرة الأمنية لا علاقة لها بمشكلة ملحق المتصفح التي عالجتها Trust Wallet في أبريل 2023. ردا على النتائج ، أكدت Trust Wallet في منشور مدونتها في 15 فبراير أن عددا قليلا فقط من المستخدمين تأثروا بالثغرة الأمنية ، وقد تم إبلاغهم جميعا ونقلهم إلى محافظ أكثر أمانا.
عثرت SECBIT على الثغرة الأمنية أثناء التحقيق في اختراق واسع النطاق للعملات المشفرة حدث في 12 يوليو 2023 ، مما أثر على أكثر من 200 محفظة رقمية. وقع الاختراق ضحية محافظ كانت إما غير نشطة لفترة طويلة أو تم تأمينها على أجهزة بدون اتصال بالإنترنت ، مما شكل تحديا للمحققين. بعد تحقيق شامل ، حددت SECBIT علاقة محتملة بين الثغرة الأمنية وخطأ في تطبيق Libbitcoin Explorer Bitcoin (BTC) المعروف باسم "Milk Sad" ، والذي اكتشفه فريق الأمن السيبراني Distrust في 7 أغسطس 2023.
كشفت دراسة SECBIT أن المحافظ المتأثرة كانت مليئة بالأموال بشكل أساسي بين يوليو وأغسطس 2018. علاوة على ذلك ، وجدوا أن الوظائف غير الآمنة التي تستخدمها Trust Wallet لإنشاء كلمات رئيسية يمكن تخمينها بسهولة من قبل المهاجمين. حددت SECBIT هذه الحسابات غير المحمية بشكل كاف ونقلت النتائج التي توصلت إليها إلى Trust Wallet بالإضافة إلى التأكيد على ضرورة نشر الثغرة الأمنية.
اعترفت SECBIT بأن مطوري المحفظة الآخرين ربما ارتكبوا أخطاء مماثلة نظرا لأن رمز Trust Wallet متاح مجانا. أفادوا أن فريق Trezor قام بتحديث مكتبتهم بإصدارات آمنة من الوظائف المذكورة في 16 يوليو 2018. ومع ذلك ، قد يظل بعض المستخدمين الذين أنشأوا حساباتهم في الجزء الأول من عام 2018 عرضة للخطر إذا لم ينقلوا أموالهم مطلقا.
أكدت Trust Wallet في بيان عام أن الخلل لم يعد موجودا في تطبيقها الحالي ، مما يضمن سلامة أصول المستخدمين. كما دحضوا الادعاءات بعدم كفاية المعلومات المقدمة لمستخدميهم حول هذه القضية.
عند مراجعة عناوين الضحايا ، اكتشفت Trust Wallet أن ثلثها فقط مرتبط بالعيب المذكور وأنه من بين 2000 عنوان متأثر ، تم إنشاء 600 عنوان فقط بواسطة تطبيقها. في دفاعها ، ادعت Trust Wallet أن بعض هذه العناوين ربما تم استيرادها من منصات أخرى. وشجعوا خبراء الأمن على المشاركة في برنامج المكافآت الخاص بهم لتحديد نقاط الضعف ، مما يؤكد التزامهم بالأمن.
اعترفت محفظة Klever في تقرير صدر في 12 يوليو 2023 بأن بعض الحسابات المتأثرة قد استخدمت خدمتها. ومع ذلك ، أكدت أن هذه العناوين تم استيرادها ولم يتم إنشاؤها في الأصل بواسطة Klever.
أشار توماس سوشانكا ، كبير مسؤولي التكنولوجيا في Trezor ، إلى أن تطبيق الوظيفة المثيرة للجدل كان فقط لأغراض الاختبار ، كما هو منصوص عليه صراحة في شفرة المصدر الخاصة بها. وأشار كذلك إلى التوقع غير الواقعي لمنع إساءة الاستخدام في مشاريع المصادر المفتوحة.
وفي الختام، حثت الشركة مستخدمي Trust Wallet خلال فترة الضعف على الانتقال إلى محافظ جديدة والتخلي عن المحافظ المخترقة. وشددوا على المخاطر المحتملة لمزيد من الخسائر المالية بسبب عدم الوعي بالقضية.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.