SECBIT Labs descubre una vulnerabilidad persistente en la aplicación iOS de Trust Wallet
Summary:
SECBIT Labs ha descubierto una vulnerabilidad persistente en la aplicación iOS de Trust Wallet, personas potencialmente afectivas que crearon cuentas entre el 5 de febrero y el 21 de agosto de 2018. La falla fue introducida por dos funciones de prueba incorporadas inadvertidamente en su software de billetera para iPhone, lo que permitió a los malos actores descifrar claves privadas y robar activos. A pesar de que Trust Wallet confirmó una solución para la falla, SECBIT sostiene que el error aún puede afectar a algunos usuarios.
Una falla de seguridad persistente en la aplicación iOS de Trust Wallet podría afectar potencialmente a los usuarios, incluidos aquellos que ya no utilizan la plataforma, según informaron los expertos cibernéticos de SECBIT Labs. La vulnerabilidad estuvo activa desde el 5 de febrero hasta el 21 de agosto de 2018, afectando a las cuentas creadas durante este periodo. Muchos usuarios permanecen ajenos al error y es posible que aún estén operando con billeteras comprometidas.
La falla fue introducida involuntariamente por dos funciones de prueba que fueron solicitadas por Trust Wallet a través de una biblioteca Trezor, señaló SECBIT. Estas funciones se incorporaron por error en el software de la billetera del iPhone, lo que podría permitir a actores nefastos descifrar las claves privadas de los usuarios y robar sus activos. Las cuentas vinculadas a estas situaciones aún están expuestas, advirtió la SECBIT.
SECBIT aclaró que esta vulnerabilidad no está relacionada con el problema de la extensión del navegador que Trust Wallet abordó en abril de 2023. En respuesta a los hallazgos, Trust Wallet confirmó en su publicación de blog del 15 de febrero que solo un puñado de usuarios se vieron afectados por la vulnerabilidad, todos los cuales han sido informados y transferidos a billeteras más seguras.
SECBIT se topó con la vulnerabilidad mientras investigaba un extenso hackeo de criptomonedas que ocurrió el 12 de julio de 2023 y que afectó a más de 200 billeteras digitales. El hackeo afectó a billeteras que estuvieron inactivas durante mucho tiempo o que estaban protegidas en dispositivos sin conexión a Internet, lo que supuso un reto para los investigadores. Tras una exhaustiva investigación, la SECBIT identificó una posible correlación entre la vulnerabilidad y un error en la aplicación Libbitcoin Explorer Bitcoin (BTC) conocida como "Milk Sad", que fue descubierta por el equipo de ciberseguridad de Distrust el 7 de agosto de 2023.
El estudio de SECBIT reveló que las billeteras afectadas se llenaron principalmente con fondos entre julio y agosto de 2018. Además, descubrieron que las funciones inseguras utilizadas por Trust Wallet para generar palabras clave eran fácilmente adivinables por los atacantes. SECBIT identificó estas cuentas desprotegidas y transmitió sus hallazgos a Trust Wallet, además de enfatizar que la vulnerabilidad debería hacerse pública.
SECBIT reconoció que otros desarrolladores de billeteras podrían haber cometido errores similares, dado que el código de Trust Wallet está disponible gratuitamente. Informaron que el equipo de Trezor actualizó su biblioteca con versiones seguras de las funciones citadas el 16 de julio de 2018. Dicho esto, algunos usuarios que crearon sus cuentas a principios de 2018 podrían seguir siendo vulnerables si nunca han movido sus fondos.
Trust Wallet confirmó en una declaración pública que la falla ya no existe en su aplicación actual, lo que garantiza la seguridad de los activos de los usuarios. También refutaron las afirmaciones de información inadecuada dada a sus usuarios sobre el tema.
Al revisar las direcciones de las víctimas, Trust Wallet descubrió que solo un tercio de ellas estaban vinculadas a la falla mencionada y que de las 2,000 direcciones afectadas, solo 600 fueron generadas por su aplicación. En su defensa, Trust Wallet alegó que algunas de estas direcciones podrían haber sido importadas de otras plataformas. Alentaron a los expertos en seguridad a participar en su programa de recompensas para identificar vulnerabilidades, subrayando su compromiso con la seguridad.
La billetera Klever reconoció en un informe del 12 de julio de 2023 que algunas de las cuentas afectadas habían utilizado su servicio. Sin embargo, afirmó que estas direcciones fueron importadas y no generadas originalmente por Klever.
El director de tecnología de Trezor, Tomáš Sušánka, señaló que la aplicación de la controvertida función era únicamente con fines de prueba, como se estipula explícitamente en su código fuente. Además, señaló la expectativa poco realista de evitar el uso indebido en proyectos de código abierto.
En conclusión, SECBIT instó a los usuarios de Trust Wallet durante el tiempo vulnerable a migrar a nuevas billeteras y abandonar las comprometidas. Hicieron hincapié en el riesgo potencial de nuevas pérdidas financieras debido al desconocimiento de la cuestión.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.