Foto: Ascannio / Shutterstock.com
Trust Wallet, de bekende non-custodial wallet voor crypto die sinds 2018 in bezit is van Binance, liet gisteren weten dat een beveiligingslek voor een totaal van bijna $170.000 aan verliezen heeft geleid. Het probleem had gevolgen voor wallet-adressen op Ethereum (ETH) en andere blockchains die tussen 14 november en 23 november 2022 werden gegenereerd via de browserextensie. Ook liet het weten dat de kwetsbaarheid op dit moment verholpen is.
1/10 Trust Wallet is built on security & trust. So we’re sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
Beveiligingslek Trust Wallet
De populaire walletprovider ontdekte het probleem via zijn bug bounty-programma. Een beveiligingsonderzoeker ontdekte een WebAssembly (WASM)-kwetsbaarheid in de open-sourcebibliotheek Wallet Core. Alle adressen die gecreëerd zijn voor of na de eerdergenoemde periode vorig jaar bevatten deze kwetsbaarheid niet en zijn veilig volgens het bedrijf.
WebAssembly is een computercodeformaat waarmee ontwikkelaars meerdere programmeertalen kunnen gebruiken om webapplicaties te bouwen, waaronder degene die in crypto wallets worden gebruikt. De ontdekte kwetsbaarheid was aanwezig in de open-source codebibliotheek die het WASM-formaat gebruikte om het maken van een crypto wallet door de gebruiker binnen de browserextensie te vergemakkelijken.
In de reeks tweets benadrukte Trust Wallet ook dat de kwetsbaarheid geen gevolgen heeft voor gebruikers die exclusief de Trust Wallet mobiele app gebruikten, wallets in de browserextensie importeerden met behulp van seed phrases, of nieuwe wallet-adressen creëerden vóór 14 november of na 23 november 2022.
$170 duizend aan crypto verlies
De inbreuk resulteerde in twee exploits die tot een totaal verlies van bijna $170.000 heeft geleid. Volgens het bedrijf zou er nog ongeveer $88.000 aan crypto op de getroffen adressen staan. Het bedrijf dringt de getroffen gebruikers er dan ook op aan om hun fondsen zo snel mogelijk te verplaatsen uit deze wallets.
Getroffen gebruikers krijgen een terugbetaling en hulp voor de gas fees aangeboden om de bijkomstige kosten te dekken.
Gebruikers met kwetsbare adressen zijn op de hoogte gebracht via de browserextensie. Getroffen adressen van Binance zijn eerder ook al op de hoogte gebracht door de crypto exchange zelf.
