时间:2024-03-12|浏览:239
用戶喜愛的交易所
已有账号登陆后会弹出下载
根据 SECBIT 实验室安全研究人员最近的一份报告,Trust Wallet iOS 应用程序中的一个旧漏洞可能仍然会影响使用该应用程序创建帐户的个人,即使他们不再使用 Trust Wallet。
研究人员表示,该漏洞仅存在于2018年2月5日至8月21日期间,不会影响该时间段之后创建的帐户。
然而,一些用户可能不知道该漏洞的存在,并且可能仍然计划使用暴露的钱包。该漏洞是由 Trezor 库中的 Trust 钱包调用的两个函数引起的,这两个函数本应仅用于测试。
然而,SECBIT 声称,尽管开发者注释警告开发者不要使用这些功能,Trust Wallet 却意外地将这些功能包含在其 iPhone 钱包应用程序中。
据称,此错误使攻击者能够猜测某些用户的私钥并窃取他们的资金。
根据 SECBIT 的说法,这些账户即使现在仍然容易受到攻击。据称,这个新发现的漏洞与 Trust Wallet 的浏览器扩展缺陷是独立且不同的,Trezor 团队已于 2023 年 4 月承认了这一缺陷。在 2 月 15 日的博客文章中回应了 SECBIT 的说法, Trust Wallet 表示,该漏洞仅影响了几千名用户,这些用户都收到了通知并迁移到了新钱包。
Trust Wallet 声称已于 2018 年 7 月修补了该漏洞,其应用程序目前可以安全使用。发布了有关该漏洞的信息。
来源:XSECBIT 上的 @ErrNil 在 Trust Wallet iOS 应用程序中发现漏洞 研究团队表示,他们在调查 2023 年 7 月 12 日发生的一次对加密钱包的广泛攻击时发现了该漏洞,该攻击影响了 200 多个加密货币账户。
许多受到攻击的帐户已经几个月没有使用过,或者存储在无法访问互联网的设备上,这应该使它们极难被黑客攻击。
此外,受害者还使用了许多不同的钱包应用程序,其中最常用的是 Trust Wallet 和 Klever Wallet。
这使得黑客攻击的原因难以查明,这激起了研究人员的好奇心。经过进一步调查,研究人员发现,大多数受害者的地址在 2018 年 7 月至 8 月期间首次收到了资金。然而,他们的调查得出了一个结论:这一发现很快就陷入了死胡同,他们开始进行其他研究。然后,2023 年 8 月 7 日,Distrust 网络安全团队宣布,据称在 Libbitcoin Explorer 比特币 (BTC) 应用程序中发现了一个漏洞。
这个 Libbitcoin 漏洞被称为“Milk Sad”,允许攻击者猜测用户的私钥。
在了解了这一所谓的缺陷后,SECBIT 团队开始怀疑类似的缺陷可能导致了 7 月 12 日的攻击。研究人员重新展开调查,并开始查看 2018 年 7 月至 8 月发布的 Trust Wallet 代码版本。
他们发现,这一时期的应用程序的 iOS 版本使用 Trezor 加密 iOS 库中的函数“random32()”和“random_buffer()”来生成助记词短语。
这些函数有开发人员注释,警告不要在生产应用程序中使用它们。
例如,random32() 的注释指出:“以下代码不应在生产环境中使用。
[...] 包含它只是为了使库可测试。
[...] 上面的消息试图防止在测试环境之外的任何意外使用。”Trezor 源代码包含警告。
来源:SECBIT Labs 在调查该代码后,研究人员据称发现它生成的种子词不够随机,无法防止攻击者猜测。
SECBIT 声称,这意味着在此期间在 iOS 设备上生成的任何 Trust Wallet 帐户都面临被耗尽的风险。 相关:美国调查 Trust Wallet iOS 应用程序的漏洞 在其报告中,SECBIT 声称已生成了一个受损地址的数据库,然后将其转发给 Trust Wallet 团队。
它还声称将这些地址与 7 月 12 日黑客攻击的受害者进行了比较,发现 83% 的受害者拥有使用 random32() 和 random_buffer() 函数生成的钱包。
当 Trust Wallet 面对这一信息时,据称它告诉 SECBIT,它已经在 2018 年私下通知了用户。它还强调,这些地址的余额为零,因此无法就资金损失发出警告。
SECBIT 声称其敦促 Trust Wallet 公开宣布该漏洞,但 Trust Wallet 没有遵守。
该公司表示,在 Trust Wallet 未能公开披露这一信息后,它才发布了调查结果。 尽管有批评性报告,SECBIT 指出 Trust Wallet 是开源的,因此其他一些钱包开发商可能已经分叉了代码并导致其用户生成易受攻击的地址,或者其他钱包开发人员可能独立地犯了与 Trust Wallet 相同的错误,使用了这一时期的 Trezor 加密 iOS 库来生成地址。
研究人员认为:“当然,Trust Wallet 可能不是唯一一个滥用 Trezor-crypto 库的钱包。
可能还有许多其他未知项目也存在类似的漏洞。
有人甚至可能指责 Trezor-crypto 库悄然更改为不安全的默认实现,从而导致使用它作为底层依赖项的项目出现致命缺陷。”据 SECBIT 报道,Trezor 于 2018 年 7 月 16 日更新了其库,添加了生产就绪功能两个函数的版本。
即便如此,研究人员声称,该漏洞仍可能影响一些在 2018 年初创建账户但从未向他们发送过资金的用户。 Trust Wallet 的回应Cointelegraph 联系 Trust Wallet 寻求评论。
作为回应,一名代表提到了该团队 2 月 15 日关于该问题的公开声明。
在这份声明中,
开发团队强调,当前版本的Trust Wallet不包含该漏洞。
该发言人表示:“我们希望向 Trust Wallet 用户保证,他们的资金是安全的,钱包也可以安全使用。”
他们继续说道:“虽然 2018 年初我们的开源代码中存在一个漏洞,仅影响了几千名用户,但在安全社区的支持下,该漏洞很快得到了修补,受影响的用户收到了通知并迁移到了安全中心。” Trust Wallet 反驳了其没有充分告知用户的说法。
该发言人表示:“Trust Wallet 的创始人采取了迅速、主动的措施,通知所有受影响的用户,并为他们提供安全的迁移路径,确保没有用户受到攻击。”Trust Wallet 还否认大多数黑客攻击是针对其账户的。应用程序生成。
在其用户数据库中仅发现“2000 个被黑客攻击的地址中的 600 个”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
该发言人表示:“我们希望向 Trust Wallet 用户保证,他们的资金是安全的,钱包也可以安全使用。”
他们继续说道:“虽然 2018 年初我们的开源代码中存在一个漏洞,仅影响了几千名用户,但在安全社区的支持下,该漏洞很快得到了修补,受影响的用户收到了通知并迁移到了安全中心。” Trust Wallet 反驳了其没有充分告知用户的说法。
该发言人表示:“Trust Wallet 的创始人采取了迅速、主动的措施,通知所有受影响的用户,并为他们提供安全的迁移路径,确保没有用户受到攻击。”Trust Wallet 还否认大多数黑客攻击是针对其账户的。应用程序生成。
在其用户数据库中仅发现“2000 个被黑客攻击的地址中的 600 个”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
该发言人表示:“我们希望向 Trust Wallet 用户保证,他们的资金是安全的,钱包也可以安全使用。”
他们继续说道:“虽然 2018 年初我们的开源代码中存在一个漏洞,仅影响了几千名用户,但在安全社区的支持下,该漏洞很快得到了修补,受影响的用户收到了通知并迁移到了安全中心。” Trust Wallet 反驳了其没有充分告知用户的说法。
该发言人表示:“Trust Wallet 的创始人采取了迅速、主动的措施,通知所有受影响的用户,并为他们提供安全的迁移路径,确保没有用户受到攻击。”Trust Wallet 还否认大多数黑客攻击是针对其账户的。应用程序生成。
在其用户数据库中仅发现“2000 个被黑客攻击的地址中的 600 个”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
“在安全社区的支持下,该漏洞很快得到了修补,受影响的用户收到了通知并迁移到了安全钱包中。” Trust Wallet 反驳了其没有充分通知用户的说法。
该发言人表示:“Trust Wallet 的创始人采取了迅速、主动的措施,通知所有受影响的用户,并为他们提供安全的迁移路径,确保没有用户受到攻击。”Trust Wallet 还否认大多数黑客攻击是针对其账户的。应用程序生成。
在其用户数据库中仅发现“2000 个被黑客攻击的地址中的 600 个”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
“在安全社区的支持下,该漏洞很快得到了修补,受影响的用户收到了通知并迁移到了安全钱包中。” Trust Wallet 反驳了其没有充分通知用户的说法。
该发言人表示:“Trust Wallet 的创始人采取了迅速、主动的措施,通知所有受影响的用户,并为他们提供安全的迁移路径,确保没有用户受到攻击。”Trust Wallet 还否认大多数黑客攻击是针对其账户的。应用程序生成。
在其用户数据库中仅发现“2000 个被黑客攻击的地址中的 600 个”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
在其用户数据库中发现了“000s hacked”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中,Klever钱包还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
在其用户数据库中发现了“000s hacked”,这意味着大多数受害者不是 Trust Wallet 用户。
Trust Wallet 声称,在这 600 名用户中,其中一些用户可能是从另一个应用程序导入了他们的地址。
与 SECBIT 声称 83% 的受害者地址是由有缺陷的代码产生的相反,Trust Wallet 表示“只有三分之一的地址存在 2018 年 Trust Wallet 历史漏洞”。
该团队在报告中鼓励安全研究人员利用其漏洞赏金计划,并声称其致力于确保钱包安全。相关:信任是加密货币熊市中的最佳策略 — Trust Wallet 首席执行官在 2023 年 7 月 12 日的报告中之后,Klever wallet 还证实,部分攻击受害者使用了其应用程序。
然而,它声称所有地址都是导入的,并非由 Klever 创建。Cointelegraph 联系 Trezor 征求意见。
对此,该公司首席技术官 Tomáš Sušánka 强调,争议核心的功能仅用于测试,而不是用于正式项目开发:“[该功能]与源代码中描述的完全相同,函数不适合在生产环境中使用,我们对此提供了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金损失。”
强调争议核心的函数仅用于测试,而不是用于正式项目开发使用:“[该函数]与源代码中描述的完全相同,该函数不适合在生产环境中使用,我们对此提出了明确的警告。
该功能被 Trezor 本身上的安全 RNG 取代。
此功能仅用于测试。
我们热爱开源,但期望我们能够防止我们开源的许多项目被任何可能的滥用是不现实的。
这些项目按原样提供,没有任何保证,正如其许可证所明确描述的那样。”在 SECBIT 的报告中,研究人员警告拥有 Trust Wallet 账户的 iOS 用户从这段时间内迁移到新钱包并停止使用旧钱包。
他们表示:“令人担忧的是,用户可能仍然使用在脆弱时期创建的钱包。”
“如果没有意识到这个问题,他们可能会面临进一步的资金
![[弗雷德]2018 年的旧 Trust Wallet iOS 漏洞可能仍会影响某些账户](/img/btc/24.jpeg)
![[弗雷德]现货比特币 ETF 即将推出 Solana 和 Rebel Satoshi 吸引投资者 R](/img/btc/62.jpeg)
趣开心资讯