Trust Wallet отрицает уязвимость и заявил, что устранил проблему сразу после ее обнаружения еще в 2018 году.
В опубликованных многочисленных отчетах указывалось, что Национальный институт стандартов и технологий (NIST), установил уязвимость в Trust Wallet. NIST отвечающий за кибербезопасность и поддержку мировых стандартов отметил, что уязвимость затронула определенную версию приложения. В изначальном обвинении, Trust Wallet связывали с принадлежностью к Binance, однако представители Trust Wallet выступили с заявлением о том, что они работают как отдельное юридическое лицо и не являются частью Binance.
Найденная уязвимость была указана в базе данных CVE, от 8 февраля и предполагает, что в одной из определенных версий мобилького кошелька Trust Wallet, библиотека trezor — crypto для создания мнемонических слов, используется неправильно и имеет уязвимость. По данным NIST, этот недостаток уже использовался в реальных условиях, что привело к финансовым потерям.
Агентство заявило:
«Из-за технической уязвимости, злоумышленник в определенные временные метки может генерировать новые мненонические фразы, после чего связать их с определенным кошельком, для дальнейшей кражи средств».
Отчет о разоблачении Trust Wallet
В своем опровержении Trust Wallet отрицает уязвимость и заявила, что NIST управляет некоммерческой платформой и базой данных, которые позволяют общественности отправлять информацию на рассмотрение и включать ее в базу данных CVE.
«Информация, представленная в новостных статьях, не была получена в результате официального расследования, проведенного правительством. Вместо этого информация была предоставлена путем отправки в общедоступную открытую базу данных, куда независимые представители могут отправлять отчеты об уязвимостях», — добавил Trust Wallet.
Что касается выявленной уязвимости, Trust Wallet заявила, что устранила проблему сразу же в июле 2018 года после ее обнаружения. Фирма заявила, что уязвимость затронула ограниченную группу из 10.000 загрузок, и были приняты превентивные меры для защиты пользователей от потенциальных рисков.
Кроме того, фирма далее оспаривала свою причастность к эксплойту в июле 2023 года. Trust Wallet утверждает, что затронутые кошельки не являются эксклюзивными для ее платформы и, вероятно, происходят из различных источников. По данным компании, в ее системе можно было отследить только 600 из более чем 2000 адресов, и только треть имела уязвимость 2018 года.
Trust Wallet
«У нас есть высокая уверенность в том, что уязвимость Trust Wallet в 2018 году не была причиной нарушения безопасности в июле 2023 года».