Агентство Министерства торговли США анализирует «приложение Binance Trust Wallet» на наличие уязвимости, которая может позволить злоумышленнику украсть средства из криптокошельков.
По данным Национального института стандартов и технологий, которому поручено продвигать инновации и промышленную конкурентоспособность США, конкретная версия приложения Trust Wallet «неправильно использует библиотеку трезор-крипто» для генерации мнемонических слов, которые можно проверить только на источник энтропии.
Источник энтропии — это физическое место, из которого генерируются данные. В институте отметили, что аналогичная уязвимость была использована в июле 2023 года, что привело к финансовым потерям:
Злоумышленник может систематически генерировать мнемоники для каждой временной метки в течение применимого периода времени и связывать их с конкретными адресами кошельков, чтобы украсть средства из этих кошельков.
В настоящее время проводится анализ для определения реальных масштабов уязвимости.
Комментируя расследование, представитель Binance пояснил, что теперь Trust Wallet принадлежит отдельному юридическому лицу, которое не входит в группу Binance и действует независимо от Binance.com.
По завершении расследования Национальный институт стандартов и технологий присвоит базовую оценку уязвимости приложения в диапазоне от 0 до 10, в зависимости от её серьезности.
До работы в Happy coin news писала на экономические темы, в том числе о криптовалютах и блокчейне.