Trust Wallet, популярный крипто-кошелек, обнаружил и устранил серьезную уязвимость WebAssembly (WASM) в своей основной программной библиотеке кошелька. Проблема коснулась адресов кошельков в Ethereum и других блокчейнах, сгенерированных с помощью расширения браузера Trust Wallet в период с 14 по 23 ноября 2022 года.
«Проблема исправлена», — говорится в сообщении проекта. «Большинство подверженных риску средств защищены».
WebAssembly — это формат компьютерного кода, который позволяет разработчикам использовать несколько языков программирования для создания веб-приложений, в том числе используемых в криптокошельках. Обнаруженная уязвимость присутствовала в основной программной библиотеке кошелька, которая использовала формат WASM для облегчения создания пользователями своих криптокошельков в расширении браузера.
$170 000 потеряны из-за уязвимости
Проект кошелька, поддерживаемый Binance, заявил в сообщении, что, обнаружив проблему, он устранил проблему. Однако были обнаружены два эксплойта. Это привело к предполагаемым потерям в размере около 170 000 долларов из-за потенциальных взломов, использующих проблему.
Trust Wallet также подчеркнул, что уязвимость не затронула пользователей, которые использовали исключительно мобильное приложение Trust Wallet, импортировали кошельки в расширение браузера, используя исходные фразы из других приложений кошелька, или создавали новые адреса кошельков через расширение до 14 ноября или после 23 ноября 2022.
В сообщении сообщества команда пояснила, что она укрепила безопасность своего кошелька, проводя более частые проверки безопасности и привлекая внешних аудиторов для оценки их мер безопасности. Проект подтвердил свое обязательство предоставить своим пользователям безопасное приложение-кошелек.
«Хотя 100%-ной безопасности не существует, мы признаем свои ошибки и совершенствуемся, чтобы быстро предотвращать, смягчать и устранять проблемы», — добавили в Twitter. «Мы стремимся предоставить безопасную и надежную платформу для наших пользователей».
Trust Wallet добавил, что будет возвращать средства, и создал систему возмещения для поддержки пострадавших пользователей. Такие пользователи будут получать уведомления через расширение для браузера, добавил он.
Команда также пояснила, что проблема не была связана с недавним инцидентом безопасности, отмеченным основателем MyCrypto, Тейлором Монаханом, в котором она заявила, что более 5000 ETH (10 миллионов долларов) были таинственным образом украдены из кошельков нескольких пользователей.