Trust Wallet 驚爆漏洞
知名加密貨幣錢包 Trust Wallet,上週六(22 日)發佈一則名為《WASM 漏洞、事件更新和建議措施》的官方公告,披露在去年 11 月,一名安全研究人員通過漏洞賞金計劃,報告 Trust Wallet 開源庫 Wallet Core 中,存在潛在的 WebAssembly(WASM)漏洞:
根據調查,該漏洞起因於 Trust Wallet 在網頁擴充功能中,用於生成錢包的 Wallet Core 部分,使用了名為「MT19937」的亂數生成器,而「MT19937」本身卻未能正確提供足夠的隨機性,這導致在該時間段生成的私鑰,相比平常更容易被破解。
公告指出,儘管 Trust Wallet 團隊在接收到漏洞報警後就迅速修正,但在 2022 年 12 月下旬和 2023 年 3 月下旬,依然出現用戶的異常資金流動,初步估計有近 17 萬美元遭到駭客竊取,截至目前仍有 8.8 萬美元的資產仍在曝險中。
📍邀請您加入Web3+ Line社群,持續關注最重要的網路變革
👉https://lin.ee/kItnyTh
做過「這件事」,錢包就在曝險名單內
那麼該怎麼知道自己的錢包資產,有沒有在曝險的 8.8 萬美元裡面呢?
官方表示,目前僅限在去年(2022 年)11 月 14 日至 11 月 23 日期間,使用「網頁擴充功能」創建的新錢包地址,才存在 WASM 漏洞,只要在不是在這段時間創建的錢包地址,或是在該時間段,但使用手機 APP 創建的錢包地址,都不在曝險範圍內,要用戶無需過度驚慌。
此外,Trust Wallet 團隊也針對曝險用戶,在網頁擴充功能中發布警告通知,一旦收到來自官方的警告,就代表自己的錢包存在風險。官方呼籲,受影響的錢包地址應該盡快轉移資產,防止再次出現鉅額損失。
而面對已經被盜的 17 萬美元鉅款,Trust Wallet 團隊也負起責任,保證會全額賠償:
最後,Trust Wallet 團隊在推文中道歉,並稱最新版本的 Trust Wallet APP 和瀏覽器擴充功能都安全可靠,希望用戶能夠持續信任團隊和 Trust Wallet 錢包:
本文授權轉載自:加密城市
核稿編輯:高敬原
