SECBIT Labs descobre vulnerabilidade persistente no aplicativo iOS da Trust Wallet
Summary:
A SECBIT Labs descobriu uma vulnerabilidade persistente no aplicativo iOS da Trust Wallet, indivíduos potencialmente afetivos que criaram contas de 5 de fevereiro a 21 de agosto de 2018. A falha foi introduzida por duas funções de teste inadvertidamente incorporadas ao software de carteira do iPhone, permitindo que agentes mal-intencionados decifrem chaves privadas e roubem ativos. Apesar da Trust Wallet confirmar uma correção para a falha, a SECBIT afirma que o bug ainda pode afetar alguns usuários.
Uma falha de segurança persistente no aplicativo iOS da Trust Wallet pode afetar os usuários, incluindo aqueles que não utilizam mais a plataforma, conforme relatado pelos especialistas cibernéticos da SECBIT Labs. A vulnerabilidade ficou ativa de 5 de fevereiro a 21 de agosto de 2018, afetando contas criadas durante essa janela. Muitos usuários permanecem alheios ao bug e ainda podem estar operando com carteiras comprometidas.
A falha foi introduzida involuntariamente por duas funções de teste que foram acionadas pela Trust Wallet por meio de uma biblioteca da Trezor, observou a SECBIT. Essas funções foram incorporadas erroneamente ao software da carteira do iPhone, portanto, potencialmente permitindo que atores nefastos decifrem as chaves privadas dos usuários e roubem seus ativos. Contas ligadas a essas situações ainda estão expostas, alertou a SECBIT.
A SECBIT esclareceu que esta vulnerabilidade não está relacionada ao problema de extensão do navegador que a Trust Wallet abordou em abril de 2023. Em resposta às descobertas, a Trust Wallet confirmou em sua postagem de blog de 15 de fevereiro que apenas alguns usuários foram afetados pela vulnerabilidade, todos os quais foram informados e transferidos para carteiras mais seguras.
A SECBIT se deparou com a vulnerabilidade enquanto investigava um extenso hack de criptomoedas que ocorreu em 12 de julho de 2023, afetando mais de 200 carteiras digitais. O ataque hacker vitimou carteiras que estavam inativas há muito tempo ou estavam protegidas em dispositivos sem conectividade com a internet, representando um desafio para os investigadores. Após uma investigação minuciosa, a SECBIT identificou uma possível correlação entre a vulnerabilidade e um bug no aplicativo Libbitcoin Explorer Bitcoin (BTC) conhecido como "Milk Sad", que foi descoberto pela equipe de segurança cibernética da Distrust em 7 de agosto de 2023.
O estudo da SECBIT revelou que as carteiras afetadas foram preenchidas principalmente com fundos entre julho e agosto de 2018. Além disso, eles descobriram que as funções inseguras usadas pela Trust Wallet para gerar palavras-chave eram facilmente adivinháveis pelos invasores. A SECBIT identificou essas contas subprotegidas e transmitiu suas descobertas à Trust Wallet, além de enfatizar que a vulnerabilidade deveria ser tornada pública.
A SECBIT reconheceu que outros desenvolvedores de carteiras podem ter cometido erros semelhantes, dado que o código da Trust Wallet está disponível gratuitamente. Eles relataram que a equipe da Trezor atualizou sua biblioteca com versões seguras das funções citadas em 16 de julho de 2018. Dito isso, alguns usuários que criaram suas contas no início de 2018 ainda podem estar vulneráveis se nunca tiverem movimentado seus fundos.
A Trust Wallet confirmou em um comunicado público que a falha não existe mais em seu aplicativo atual, garantindo a segurança dos ativos dos usuários. Eles também refutaram alegações de informações inadequadas dadas a seus usuários sobre o assunto.
Analisando os endereços das vítimas, a Trust Wallet descobriu que apenas um terço deles estava ligado à falha mencionada e que dos 2.000 endereços afetados, apenas 600 foram gerados por seu aplicativo. Em sua defesa, a Trust Wallet alegou que alguns desses endereços podem ter sido importados de outras plataformas. Eles incentivaram os especialistas em segurança a participar de seu programa de recompensas para identificar vulnerabilidades, ressaltando seu compromisso com a segurança.
A carteira Klever reconheceu em um relatório de 12 de julho de 2023 que algumas das contas afetadas utilizaram seu serviço. No entanto, afirmou que esses endereços foram importados e não gerados originalmente pela Klever.
O diretor de tecnologia da Trezor, Tomáš Sušánka, observou que a aplicação da controversa função era apenas para fins de teste, conforme estipulado explicitamente em seu código-fonte. Ele ainda apontou a expectativa irrealista de evitar o uso indevido em projetos de código aberto.
Em conclusão, a SECBIT pediu aos usuários da Trust Wallet durante o período vulnerável que migrem para novas carteiras e abandonem as comprometidas. Eles destacaram o risco potencial de novas perdas financeiras devido ao desconhecimento do assunto.
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.