被幣安在 2018 年收購的多鏈自托管加密資產錢包 Trust Wallet 今日披露,Trust Wallet 開源庫因存在 WASM 漏洞,導致在去年 11 月 14 日至 23 日期間透過錢包瀏覽器擴充功能生成的新錢包地址,存在被盜風險,估計損失約有 17 萬美元,但 Trust Wallet 承諾將賠償用戶損失。
(前情提要:分布式資本沈波:4,200萬鎂的Trust Wallet錢包被盜;疑私鑰外洩)
(背景補充:CZ加持!Trust Wallet推瀏覽器擴充暴漲83%,突破2.7鎂、創歷史新高)
曾獲得幣安創辦人趙長鵬(CZ)親自加持的 Trust Wallet 在今日發布公告披露,在去年 11 月,有一名安全研究人員藉由漏洞賞金計劃,報告 Trust Wallet 開源庫 Wallet Core 中存在 WebAssembly(WASM)漏洞。
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
該公告提到, Trust Wallet 瀏覽器擴充功能在 Wallet Core 中使用 WASM,在去年 11 月 14 日至 23 日期間,透過瀏覽器擴充功能生成的新錢包地址存在此漏洞,不過 Trust Wallet 已迅速修復漏洞,在這些日期之後生成的地址都是安全的。
然而,Trust Wallet 仍發現兩個潛在漏洞,導致在攻擊發生時,造成約 17 萬美元損失。
對此,Trust Wallet 承諾,將補償因漏洞造成的駭客攻擊損失,為受害用戶建立補償程序,該公告還呼籲受影響用戶盡快轉移所有易受攻擊地址上剩餘的約 8.8 萬美元資金。
如何檢查是否受漏洞影響?
該公告提到,在以下情況下,用戶的錢包地址不會受此漏洞影響:
- 只使用 Trust Wallet 手機 app
- 只將錢包地址匯入瀏覽器擴充功能
- 只是在 2022 年 11 月 14 日之前、或 2022 年 11 月 23 日之後使用瀏覽器擴充功能建立新錢包的用戶
如果用戶的錢包為易受攻擊地址,用戶將在瀏覽器擴充功能上看到警示通知,建議應創建一個新錢包地址、移動資產,停止使用易受攻擊地址,請避免使用不是用戶自己所創建的錢包地址,以免被騙子利用。
另外,需注意的是,在 2022 年 12 月下旬和 2023 年 3 月下旬發現錢包存在異常資金流動的用戶,可能是遭受上述提及的兩個潛在漏洞攻擊的少數受害者之一,Trust Wallet 將向每個受害者償還資金,該團隊有所有受影響錢包的確切清單。
慢霧:漏洞致錢包私鑰有被破解風險
慢霧創辦人餘弦發推提醒,如果用了 Trust Wallet 瀏覽器擴充功能,且在 2022 年 11 月 14 日至 23 日期間創建錢包,那麼該錢包就存在風險,本質原因是當時 Trust Wallet 瀏覽器擴充功能使用的 MT19937 偽隨機數生成器,沒有提供足夠的隨機性,導致私鑰可以被破解,目前 Trust Wallet 已披露該風險,所幸損失小。
📍相關報導📍
幣安(Binance)收購的錢包 Trust Wallet 讓用戶「錢包內」使用 Binance DEX
