forklog.com
Разработчики Trust Wallet устранили уязвимость в основной программной библиотеке некастодиального кошелька. Проблема затрагивала адреса, созданные через браузерное расширение в период с 14 по 23 ноября 2022 года.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
— Trust Wallet (@TrustWallet) April 22, 2023
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87
«Проблема устранена. Большая часть средств, подверженных риску, защищена», — говорится в заявлении.
В компании подчеркнули, что проблема не затронула людей, которые использовали исключительно мобильное приложение Trust Wallet или импортировали кошельки с сервисов других операторов.
«Последние версии мобильного приложения Trust Wallet и расширения для браузера остаются безопасными и надежными в использовании», — написали разработчики.
Согласно записи в блоге сообщества, уязвимость связана с бэкэнд-модулем WebAssembly. Это бинарный формат, который позволяет использовать сразу несколько языков программирования для создания приложений. В Trust Wallet он применяется, чтобы упростить генерацию кошельков через браузерное расширение.
Команда подчеркнула, что уязвимость не связана со взломом кошелька одного из пользователей, — информация об инциденте появилась в Twitter 18 апреля 2023 года.
For the past 48hrs I've been unwinding a massive wallet draining operation 😳😭
— Tay 💖 (@tayvano_) April 18, 2023
I don't know how big it is but since Dec 2022 it's drained 5000+ ETH and ??? in tokens / NFTs / coins across 11+ chains.
Its rekt my friends & OGs who are reasonably secure.
No one knows how. pic.twitter.com/MafntG7RkP
По словам разработчиков, они также обнаружили два релевантных эксплойта на общую сумму $170 000. На пострадавших адресах остаются активы стоимостью порядка $88 000. Их владельцам рекомендовали вывести токены.
В Trust Wallet заявили, что возместят затронутым пользователям потерянные средства.
Напомним, в апреле разработчики протокола Ethermint из экосистемы Cosmos рассказали, что устранили уязвимость на десятки миллионов долларов.