SECBIT Labs 发现 Trust Wallet 的 iOS 应用程序中的持续漏洞
Summary:
SECBIT Labs 在 Trust Wallet 的 iOS 应用程序中发现了一个挥之不去的漏洞,该漏洞可能是在 2018 年 2 月 5 日至 8 月 21 日期间创建帐户的情感个人。该漏洞是由两个测试功能无意中集成到其iPhone钱包软件中引入的,使不良行为者能够破译私钥并窃取资产。尽管Trust Wallet确认了该漏洞的修复,但SECBIT坚持认为该漏洞仍可能影响某些用户。
据 SECBIT Labs 的网络专家报告,Trust Wallet 的 iOS 应用程序中挥之不去的安全漏洞可能会影响用户,包括那些不再使用该平台的用户。该漏洞在 2018 年 2 月 5 日至 8 月 21 日期间处于活动状态,影响了在此窗口期间创建的帐户。许多用户仍然对这个错误视而不见,并且可能仍在使用受损的钱包进行操作。
SECBIT指出,该漏洞是由Trust Wallet通过Trezor库调用的两个测试函数无意中引入的。因此,这些功能被错误地合并到 iPhone 钱包软件中,可能使不法分子能够破译用户的私钥并窃取他们的资产。SECBIT警告说,与这些情况有关的账户仍然暴露在外。
SECBIT 澄清说,这个漏洞与 Trust Wallet 在 2023 年 4 月解决的浏览器扩展问题无关。作为对调查结果的回应,Trust Wallet 在 2 月 15 日的博客文章中证实,只有少数用户受到该漏洞的影响,所有这些用户都已被告知并转移到更安全的钱包中。
SECBIT 在调查 2023 年 7 月 12 日发生的大规模加密货币黑客攻击时偶然发现了该漏洞,该黑客攻击影响了 200 多个数字钱包。黑客攻击的钱包要么长时间不活跃,要么在没有互联网连接的设备上受到保护,这给调查人员带来了挑战。经过彻底调查,SECBIT 确定了该漏洞与 Libbitcoin Explorer Bitcoin (BTC) 应用程序中一个名为“Milk Sad”的漏洞之间存在潜在关联,该漏洞于 2023 年 8 月 7 日由 Distrust 网络安全团队发现。
SECBIT的研究显示,受影响的钱包主要在2018年7月至8月期间填充资金。此外,他们发现Trust Wallet用于生成关键字的不安全功能很容易被攻击者猜到。SECBIT发现了这些未受保护的账户,并将其调查结果传达给Trust Wallet,并强调应公开该漏洞。
SECBIT承认,鉴于Trust Wallet的代码是免费提供的,其他钱包开发人员可能也犯了类似的错误。他们报告说,Trezor 团队于 2018 年 7 月 16 日更新了他们的库,其中包含引用函数的安全版本。也就是说,一些在2018年初创建账户的用户,如果他们从未转移过资金,他们可能仍然容易受到攻击。
Trust Wallet 在一份公开声明中证实,该漏洞在其当前的应用程序中不再存在,从而确保了用户资产的安全。他们还驳斥了向用户提供有关该问题的信息不足的说法。
在查看受害者地址后,Trust Wallet 发现其中只有三分之一与上述漏洞有关,而在受影响的 2,000 个地址中,只有 600 个是由其应用程序生成的。Trust Wallet在辩护中声称,其中一些地址可能是从其他平台导入的。他们鼓励安全专家参与他们的赏金计划,以识别漏洞,强调他们对安全的承诺。
Klever 钱包在 2023 年 7 月 12 日的一份报告中承认,一些受影响的账户使用了其服务。然而,它声称这些地址是导入的,而不是最初由Klever生成的。
Trezor 的首席技术官 Tomáš Sušánka 指出,正如其源代码中明确规定的那样,这个有争议的功能的应用仅用于测试目的。他进一步指出,在开源项目中防止滥用是不切实际的期望。
总之,SECBIT敦促Trust Wallet的用户在易受攻击的时期迁移到新钱包并放弃受感染的钱包。他们强调,由于对这个问题的不了解,存在进一步经济损失的潜在风险。
Published At
3/12/2024 4:00:00 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.