Понад 4 мільярди криптовалютних гаманців Trust Wallet опинились під загрозою — їх можна зламати за декілька хвилин

Виявилось, що понад 4 мільярди криптовалютних гаманців Trust Wallet знаходяться під загрозою. Як повідомив співзасновник платформи 1inch Антон Буков, всі гаманці Trust Wallet можна зламати всього за декілька хвилин.

«Всі 4 мільярди існуючих гаманців Trust Wallet можна зламати за декілька хвилин, використовуючи звичайний ноутбук», — заявив Буков.

All the 4 billions of possible wallets can be brutforced within a few minutes on average laptop. https://t.co/xnUJXL6ptY

— Anton Bukov (e/acc)🦇🔊 (@k06a) April 23, 2023

До такого висновку дійшли спеціалісти 1inch, проаналізувавши розширення гаманця Trust Wallet. За словами розробників, критична проблема міститься у використанні генератора псевдовипадкових чисел (PRNG).

Рішення Mersenne Twister (MT19937) використовує генератор для створення закритих ключів. Втім, PRNG не є випадковим, тому зловмисники можуть зламати закриті ключі, зрозумівши принцип роботи генератора.

And here, Kaspersky decided that instead of picking a random password, they should bias the password to be non-random and thus “less likely to be on a cracker list”. 🤦🏻‍♂️ pic.twitter.com/hMtW9kNaHg

— Matthew Green (@matthew_d_green) July 6, 2021

Нагадаємо — 22 квітня розробники Trust Wallet повідомили, що користувачі програмного забезпечення втратили $ 170 тис. Вразливість зачепила гаманці, створені в браузерному розширенні в період з 14 по 23 листопада 2022 року. Анонімний аналітик із безпеки повідомив про вразливість ще в листопаді, розповівши про помилку на сайті для отримання винагород (баунті програма).

Представники Trust Wallet запевнили, що відшкодують збитки своїм користувачам. У компанії також попередили, що на «вразливих» адресах все ще перебуває близько $ 88 тис. Команда закликала користувачів негайно вивести цифрові кошти зі скомпрометованих сховищ.