Национальный институт стандартов и технологий (NIST), подразделение Министерства торговли США, в настоящее время изучает конкретную уязвимость в версии приложения Binance Trust Wallet для iOS.
Это исследование сосредоточено на уязвимости безопасности, которая в случае ее использования потенциально может позволить злоумышленникам получить незаконный доступ и перенаправить средства из криптовалютных кошельков пользователей. Основное внимание в расследовании уделяется тому, как приложение ненадлежащим образом использует библиотеку trezor-crypto для генерации мнемонических слов, имеющих решающее значение для защиты средств пользователей, которые должны аутентифицироваться исключительно в источнике энтропии.
Эта проблема имеет сходство с прецедентом, имевшим место в июле 2023 года, когда эксплуатация аналогичной уязвимости привела к финансовым потерям. Текущие усилия NIST направлены на тщательную оценку возможности манипулирования генерацией мнемоник для мошеннической привязки их к конкретным адресам кошельков, тем самым облегчая несанкционированный вывод средств. Этот критический анализ, обнародованный 8 февраля, направлен на выяснение практических последствий и степени воздействия уязвимости.
Одновременно база данных CVE, поддерживаемая Министерством внутренней безопасности США , инициировала расследование Trust Wallet через Secbit Labs после волны несанкционированного доступа к кошелькам Ether. Расследование выявило уязвимость в версии Trust Wallet для платформы iOS, датируемую 2018 годом, что напрямую связывает ее с крупными кражами, зафиксированными 12 июля 2023 года.
Несмотря на молчание Binance относительно этих проблем безопасности, независимое расследование Milk Sad выявило значительный риск. В ходе обзора было выявлено более 6500 мнемоник кошельков, подверженных потенциальному риску, что указывает на их уязвимость к использованию небезопасных функций в библиотеке trezor-crypto. Это разоблачение напрямую связано с методами, использованными в инцидентах с кражами Milk Sad, что подчеркивает критический характер уязвимости.
Кульминацией расследования NIST станет присвоение базового уровня серьезности уязвимости приложения в диапазоне от 0 до 10, что отражает потенциальный риск, который оно представляет для пользователей. Этот шаг имеет решающее значение для информирования пользователей о серьезности недостатка безопасности.
Недавние события, связанные с уязвимостью Trust Wallet, — не единственные проблемы, с которыми столкнулся Binance. Криптовалютная биржа также рассматривает слухи об утечке системы после обвинений X относительно доступности пользовательских данных Binance на GitHub. Твердо опровергая эти утверждения, Binance заверила свое сообщество в целостности и безопасности своих учетных записей, категорически отрицая любые нарушения.
Между тем, как сообщает CNBC, вынесение приговора основателю Binance Чанпэн Чжао было перенесено на 30 апреля с первоначальной даты 23 февраля. Причины этой задержки не разглашаются, а адвокат Чжао отказался от комментариев.
