Trust Wallet، یک کیف پول رمزنگاری محبوب متعلق به بایننس، یک آسیبپذیری WebAssembly (WASM) را در کتابخانه منبع باز خود، Wallet Core، افشا کرده است که برخی از کاربران را تحت تأثیر قرار داده است. یک محقق امنیتی این آسیبپذیری را از طریق برنامه پاداش باگ Trust Wallet در نوامبر 2022 گزارش کرد.
با توجه به یک بروز رسانی حادثه این آسیبپذیری که توسط این شرکت به اشتراک گذاشته شده است، تنها بر آدرسهای کیف پول جدید ایجاد شده توسط افزونه مرورگر آن بین 14 تا 23 نوامبر 2022 تأثیر میگذارد. این آسیبپذیری میتواند به مهاجمان اجازه دهد کدهای مخرب را روی دستگاههای کاربران اجرا کرده و وجوه آنها را به سرقت ببرند.
1/10 Trust Wallet بر اساس امنیت و اعتماد ساخته شده است. بنابراین، ما یک آسیبپذیری را به اشتراک میگذاریم که بر آدرسهای جدید ایجاد شده از 14 تا 23،22 نوامبر با استفاده از افزونه مرورگر تأثیر میگذارد.
مسئله رفع شده است. بیشتر وجوه در معرض خطر تضمین شده است. کاربران متاثر باید اقدامات زیر را انجام دهند:
➡️https://t.co/X9AEfqWW87— کیف پول اعتماد (@TrustWallet) 22 آوریل 2023
آسیب پذیری رفع شد، اما 170000 دلار از دست رفت
Trust Wallet گفت که این آسیبپذیری را ظرف یک روز پس از تأیید گزارش جایزه برطرف کرده و یک بهروزرسانی امنیتی برای افزونه مرورگر خود منتشر کرده است.
با این حال، علیرغم تلاشهای Trust Wallet، دو سوء استفاده احتمالی شناسایی شد که منجر به ضرر کلی حدود 170000 دلار در زمان حمله شد.
7/10 علیرغم تمام تلاشهایمان برای به حداقل رساندن ضرر، ما به طور فعال 2 سوء استفاده احتمالی با ضرر کل 170 هزار دلار شناسایی کردیم. برای انجام درست کار با کاربران، یک فرآیند بازپرداخت برای کاربران آسیب دیده ایجاد کردیم تا آنها را کامل کنیم.
روند ادعا را اینجا ببینید: https://t.co/a7qLwJQuop
— کیف پول اعتماد (@TrustWallet) 22 آوریل 2023
Trust Wallet به کاربران خود اطمینان داده است که ضررهای واجد شرایط ناشی از هک ناشی از آسیب پذیری را جبران خواهد کرد و یک فرآیند بازپرداخت برای کاربران آسیب دیده ایجاد کرده است.
این پلتفرم همچنین از کاربران آسیبدیده خواسته است تا در اسرع وقت حدود 88000 دلار باقیمانده را در تمام آدرسهای آسیبپذیر منتقل کنند.
کاربران می توانند با باز کردن Trust Wallet خود بررسی کنند که آیا آدرس کیف پول آنها آسیب پذیر است یا خیر پسوند مرورگر و به دنبال یک اعلان هشدار است.
این شرکت از کاربرانی که اعلان هشدار را مشاهده میکنند، میخواهد یک آدرس کیف پول جدید ایجاد کنند، داراییهای خود را جابهجا کنند و استفاده از آدرسهای آسیبپذیر را متوقف کنند. همچنین به کاربران توصیه کرد از آدرسهای کیف پولی که ایجاد نکردهاند اجتناب کنند تا از سوء استفاده کلاهبرداران جلوگیری کنند.
چه اقداماتی انجام شود
Trust Wallet همچنین گفت کسانی که فقط از برنامه تلفن همراه آن استفاده می کردند، وارداتی آدرس های کیف پول را در پسوند مرورگر خود قرار می دهد یا از پسوند مرورگر خود برای ایجاد یک برنامه جدید استفاده می کند کیف پول قبل از 14 نوامبر 2022 یا بعد از 23 نوامبر 2022، تحت تأثیر این آسیب پذیری قرار نمی گیرند.
این پلتفرم به کاربران خود توصیه کرد که به آخرین نسخه برنامه خود را به روز کنند، از کلیک بر روی پیوندها یا پیام های مشکوک مربوط به حساب Trust Wallet خود اجتناب کنند، رمزهای عبور قوی ایجاد کنند و احراز هویت دو مرحله ای (2FA) را فعال کنند، از افشای اطلاعات حساس مانند عبارات بازیابی یا خصوصی خودداری کنند. کلیدها را در اختیار هر کسی قرار دهید و برنامه Trust Wallet را از منابع قابل اعتماد مانند وب سایت رسمی یا فروشگاه برنامه دانلود کنید.
برای جلوگیری از تحت تأثیر قرار گرفتن برنامه افزونه مرورگر خود توسط این آسیب پذیری، که می تواند باعث ضرر برای کاربران شود، کیف پول اعتماد کنید همچنین به توسعه دهندگان کیف پول که از Wallet Core استفاده می کردند، توصیه کرد کتابخانه برای توسعه کیف پول های افزونه مرورگر در سال 2022 برای اطمینان از اجرای جدیدترین نسخه Wallet Core.
