Trust Wallet آسیب‌پذیری را برطرف کرد، اما هشدار می‌دهد که 88000 دلار وجوه کاربر همچنان در خطر است

چند روز طول کشید تا تیم Trust Wallet یک آسیب‌پذیری را که سرمایه‌های کاربران را در معرض خطر قرار می‌داد برطرف کند و اصلاحات لازم را منتشر کند. اما این کیف پول رمزنگاری محبوب برای ماه‌ها به طور عمومی این موضوع را تایید نکرد و می‌گوید حتی در حال حاضر نیز کاربران آسیب‌دیده باید برای محافظت از وجوه خود به آدرس کیف پول جدیدی بروند.

روز شنبه، Trust Wallet اعلام کرد که آسیب‌پذیری را برطرف کرده است که کاربرانی را که با استفاده از افزونه مرورگر پروژه، کیف پول دیجیتالی را بین 13 تا 23 نوامبر سال گذشته ایجاد کرده‌اند، تحت تأثیر قرار می‌دهد. این مشکل فقط به کیف پول‌های مرورگر ایجاد شده پس از 23 نوامبر کمک می‌کند.

Trust Wallet در گزارشی اعلام کرد: «برای رهایی از این آسیب‌پذیری، کاربران باید دارایی‌های خود را از آدرس‌های کیف پول آسیب‌دیده به آدرس‌های کیف پول جدید و بدون تأثیر منتقل کنند». پست وبلاگ. تحت این شرایط، ما تمام اقدامات ممکن را برای اطلاع رسانی به کاربران و کمک به آنها در کاهش خطر حملات احتمالی انجام دادیم.

پروژه کیف پول با پشتوانه بایننس اعلام کرد که ابتدا پاییز گذشته توسط یک محقق امنیتی که مشکلی را در کتابخانه منبع باز خود که کلیدهای خصوصی را در معرض خطر امنیتی قرار می داد، از این مشکل مطلع شده بود.

اگرچه اکثر وجوه آسیب پذیر کاربران ایمن شده است، اما Trust Wallet می گوید که 88300 دلار از وجوه هنوز در معرض خطر است. Trust Wallet اذعان کرد که چند کاربر قربانی این آسیب‌پذیری شده‌اند و در توییتر متعهد شد که به آنها بازپرداخت کند.

این پروژه در توییتر اعلام کرد: «علیرغم تلاش‌های ما برای به حداقل رساندن ضرر، ما به طور فعال 2 اکسپلویت احتمالی را با ضرر کل 170 هزار دلار شناسایی کردیم. “برای انجام درست کار با کاربران، ما یک فرآیند بازپرداخت برای کاربران آسیب دیده ایجاد کردیم تا آنها را کامل کنیم.”

تیم پروژه می‌گوید پس از رفع آسیب‌پذیری – جلوگیری از تحت تأثیر قرار گرفتن کیف پول‌های جدید – در مورد افشای عمومی این آسیب‌پذیری بحث کرده است.

در این بیانیه آمده است: «هدف اصلی ما کمک به کاربران برای حفظ بیشترین دارایی‌های خود و جلوگیری از ضررهای احتمالی بود. ما معتقد بودیم که ارتباط محرمانه و انفرادی با کاربران، کاربران را قادر می‌سازد تا اقدامات لازم را بدون قربانی کردن مالکیت دارایی‌هایشان انجام دهند.»

این پروژه می‌گوید که از طریق دورهای متعدد اعلان‌های فشار موبایل و هشدارهای درون‌برنامه‌ای که هر دقیقه ظاهر می‌شوند، به کاربران تأثیرگذار رسیده است. این پیام ها با دستورالعمل های روشنی در مورد نحوه انتقال دارایی های کاربران همراه بود.

Trust Wallet نه تنها پشتیبانی مشتری را به کاربران ارائه کرد، بلکه این پروژه همچنین بازپرداخت هزینه‌های گاز را برای کاربرانی که وجوه خود را به کیف پول‌های غیرقابل مصالحه منتقل می‌کردند، بازپرداخت کرد. در مجموع، Trust Wallet حدود 23.6 BNB هزینه گاز یا حدود 7700 دلار را بازپرداخت کرد.

علاوه بر این، Trust Wallet با Binance تماس گرفت و از کمک صرافی در ارتباط با کاربرانی که دارای وجوهی بودند که می‌توانستند در صرافی ردیابی شود، مطمئن شد. این پروژه تاکید کرد که انجام شده است “اطلاعات قابل شناسایی شخصی” را با صرافی به اشتراک نگذارید.

این پروژه از تیم امنیتی Binance به دلیل “مشکل کردن مشکل، انجام ارزیابی ریسک، تشدید موضوع، انجام تجزیه و تحلیل تاثیرات و برقراری ارتباط با محقق امنیتی” تشکر کرد.

Trust Wallet اعلام کرد که در نوامبر گذشته یک بیانیه عمومی در مورد این آسیب‌پذیری آماده کرده است، اما تصمیم گرفت منتظر بماند و ارزش اطلاع‌رسانی به مردم را در مقابل احتمال برجسته کردن یک حفره امنیتی که هنوز می‌توان از آن استفاده کرد، سنجید.

تاریخ هشدار عمومی در نهایت از فوریه تا آوریل به تعویق افتاد.

در این بیانیه آمده است: «ما در نظر گرفتیم که پس از افشای اطلاعات، بازیگر بدی می‌تواند از کیف‌های باقی‌مانده سوء استفاده کند و مالکیت وجوه باقی‌مانده را در اختیار بگیرد. «بنابراین، ما به کاربران آسیب‌دیده زمان بیشتری برای تأمین سرمایه خود دادیم[s] به جای ساختن الف[…] افشای زودهنگام.»